Fa ja uns dies que corre un "virus" que, mitjançant força bruta, pretén entrar via ssh com a root.
Et suggeureixo que deneguis el root login del sshd_config. I no és tant estrany haver de "treure" algú del teu ordinador, fa unes 3 setmanes m'hi vaig haver de barallar amb un ordinador d'un client, li havien configurat un servidor de pelis .avi. Mira de passar-li el http://www.chkrootkit.com si sospites que ja són dins. Les iptables t'han d'ajudar a protegir els ports del teu ordinador, si no és suficient, pensa en posar-hi algo tant psicòpata com http://www.lids.org. El Tuesday 24 April 2007 00:28, rpb va escriure: > La pregunta no és Debian-específica, però com el servidor va amb Sarge, > doncs... He vist que de cop i volta, sense tenir la mula engegada ni cap > procés fent ús de la xarxa, el meu servidor s'ha posat a utilitzar-la amb > força activitat al disc. L'iptraf em donava la següent informació: > > TCP Connections (Source Host:Port) ───Packets ─── Bytes Flags Iface > ││┌85.31.176.98:39815 = 12 1152 CLOSED > eth0 ││└192.168.1.1:22 = 14 > 1981 CLOSED eth0 ││┌85.31.176.98:40011 = > 10 996 DONE eth0 ││└192.168.1.1:22 > = 11 1813 -PA- eth0 │ > > (Activitat pel port ssh???) Faig un whois i em surt: > > % Information related to '85.31.176.96 - 85.31.176.111' > > inetnum: 85.31.176.96 - 85.31.176.111 > netname: PINET-RU_PERESVET > descr: JSC Peresvet Invest Office Network > country: RU > admin-c: AK2150-RIPE > tech-c: AK2150-RIPE > status: ASSIGNED PA > mnt-by: MNT-PERESVET > source: RIPE # Filtered > > person: Aleksey Kulikov > address: 1-ya Dubrovskaya 14/1 > e-mail: [EMAIL PROTECTED] > phone: + 7 (095) 7898888 > nic-hdl: AK2150-RIPE > source: RIPE # Filtered > > % Information related to '85.31.176.0/24AS35310' > > route: 85.31.176.0/24 > descr: Peresvet-TeleCom (JP2-RIPE) default route policy > origin: AS35310 > mnt-by: MNT-PERESVET > remarks: report abuse to [EMAIL PROTECTED] > remarks: All reports via other channels will be ignored. > source: RIPE # Filtered > > MALDISIÓN!!! Tinc a la màfia russa al meu pobre servidor casolà??? > Tenen el meu usuari i password de ssh? Hi ha alguna vulnerabilitat a > la versió de Sarge del ssh (OpenSSH_3.8.1p1)? què puc fer? > > Ricard -- :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: Jaume Sabater :: administrador de sistemes :: [EMAIL PROTECTED] argus.net TECNOLOGIA CREATIVA "creant en la web des de 1995" www.argus.net | tel: 932 92 41 00 | fax: 932 92 42 25 | [EMAIL PROTECTED] Avgda. Marquès de Comillas, 13 (Poble Espanyol) | 08038 | Barcelona -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]