Merhabalar,
Kullandığım sunucuyu (apache için) uzun süre açık tutmaya çalıştığım
zamanlarda bununla ben de karşılaşmıştım. Recai hocamızın dediğine
katılıyorum. Şifre deneyen otomatik programlar olsa gerek bunlar.
Bu durumda eğlence olarak,
http://www.geobytes.com/IpLocator.htm?GetLocation
http://www.searchbug.com/peoplefinder/location-by-ip-address.aspx?ipaddress=143.248.138.18submit1=Submit
http://www.antionline.com/tools-and-toys/ip-locate/
adreslerinin herhangi birisinden saldırgan ip nin nerede olduğunu
öğrenebilirsin. Benim durumumda Buenos Aires, Japonya, Avrupa'nın
çeşitli yerleri gibi enteresan yerler çıkmıştı. Sonra bu ip lere
mozilla/firefox gibi bir taracıyı ile siteleri var mı diye bakabilirsin,
oradan adres bulursan eposta atabilirsin, hatta karşılık olarak ssh ile
onların bilgisayarlarını bir yoklayabilirsin : )
Çözüm olarak da bir kaç şey önerebilirim, ip adresini değiştirmek (kısa
süreli bir koruma), sshd yi kaldırmak (gerekli değilse bunu
yapabilirsin, ssh i kullanmak için sshd ye gerek yok), bildiğim en şık
çözüm ise sshd_config dosyasındaki
Port 22
satırını, unutmayacağın başka bir port numarasına değiştirmek. google
dan ports diye yazıp kontrol ederek, genel olarak kullanılmayan
birtanesini seçebilirsin, ileride bir karışıklık olmasın diye (seçtiğini
başka bir program kullanmaya kalkmasın diye). Buradaki olay, bu tip
genel saldırıların standart kurulumları hedef alması, bir listedeki
bütün ip lerin 22. kapısını (port) taramak, bir ip nin bütün kapılarını
taramaktan daha hızlı olacaktır. O yüzden olsa gerek, bu değişikliği
yaptıktan sonra /var/log/auth.log dosyası baya bi rahat etmişti.
Kolay gelsin.
Can Kavaklıoğlu
Merhaba,
gkrellm sayesinde bir anda eth0 arayüzü üzerinden beklenmedik
bir trafik oldugunu gördüm, bayram degil seyran degil bir sey
yollamiyorum, bir sey almiyorum, nereden cikti bu trafik dedim.
netstat ile biraz bakinca bol bol ssh ile karsilastim ve beklenmedik bir
durum oldugunu düsündüm, sshd'yi hemen durdurdum ve sonra da
/var/log/auth.log'a bakinca
asagida göreceginiz satirlar ile karsilastim.
Anlayabildigim kadari ile tek bir makina, otomatik
bir program araciligi ile bazi kullanici isimlerini/parolalarini
deneyerek benim sistemi bombardimana tuttu ve ssh üzerinden giris
yapmaya calisti (hangi programla? nasil? bilemiyorum tabii).
Sistemim Debian GNU/Linux (unstable). ADSL router/firewall modem arkasindayim.
Asagidaki loga bakip daha detayli analiz yapabilecek
ve önerilerde bulunabilecek olan varsa sevinirim.
Bu arada fail2ban diye bir programin farkina vardim:
http://fail2ban.sourceforge.net
Bu tür durumlari engellemek icin anlamli mi, kullanmis olan var mi?
Simdiden tesekkürler, log dosyasi asagida, ayrica sshd_config dosyami
da aktardim, herhangi bir sorun var mi diye (bu olay basima
geldikten sonra apt-get install ssh ile sshd sunucuyu güncelledim):
Sep 10 00:52:46 debian sshd[16576]: Did not receive identification string
from :::83.170.72.51
Sep 10 00:53:01 debian CRON[16581]: (pam_unix) session opened for user mail
by (uid=0)
Sep 10 00:53:01 debian CRON[16581]: (pam_unix) session closed for user mail
Sep 10 01:00:01 debian CRON[16697]: (pam_unix) session opened for user root
by (uid=0)
Sep 10 01:00:04 debian CRON[16697]: (pam_unix) session closed for user root
Sep 10 01:00:18 debian sshd[16704]: Illegal user admin from
:::83.170.72.51
Sep 10 01:00:19 debian sshd[16704]: error: Could not get shadow information
for NOUSER
Sep 10 01:00:19 debian sshd[16704]: Failed password for illegal user admin
from :::83.170.72.51 port 37887 ssh2
Sep 10 01:00:20 debian sshd[16706]: Illegal user administrator from
:::83.170.72.51
Sep 10 01:00:20 debian sshd[16706]: error: Could not get shadow information
for NOUSER
Sep 10 01:00:20 debian sshd[16706]: Failed password for illegal user
administrator from :::83.170.72.51 port 38063 ssh2
Sep 10 01:00:21 debian sshd[16709]: Illegal user jack from :::83.170.72.51
Sep 10 01:00:22 debian sshd[16709]: error: Could not get shadow information
for NOUSER
Sep 10 01:00:22 debian sshd[16709]: Failed password for illegal user jack
from :::83.170.72.51 port 38231 ssh2
Sep 10 01:00:23 debian sshd[16711]: Illegal user marvin from
:::83.170.72.51
Sep 10 01:00:23 debian sshd[16711]: error: Could not get shadow information
for NOUSER
Sep 10 01:00:23 debian sshd[16711]: Failed password for illegal user marvin
from :::83.170.72.51 port 38411 ssh2
Sep 10 01:00:25 debian sshd[16713]: Illegal user andres from
:::83.170.72.51
Sep 10 01:00:25 debian sshd[16713]: error: Could not get shadow information
for NOUSER
Sep 10 01:00:25 debian sshd[16713]: Failed password for illegal user andres
from :::83.170.72.51 port 38595 ssh2
Sep 10 01:00:26 debian sshd[16716]: Illegal user barbara from
:::83.170.72.51
Sep 10 01:00:26 debian sshd[16716]: error: Could not get shadow information
for NOUSER
Sep 10