Date: Thu, 8 Jun 2006 09:15:20 +0200 (CEST) From: Claus Guttesen <none@cguttesen--yahoo.dk.lh.bsd-dk.dk> Subject: mislykket ssh-indloging To: bsd-dk <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk>
Hej.
Fik denne i loggen idag, sendt via FreeBSD's udmærkede
natlige gennemgang af log'ene, først tre linier:
Jun 7 10:56:05 julie sshd[1148]: Bad protocol version
identification '\026\003\001' from a.b.c.d
Jun 7 10:56:05 julie sshd[1149]: Bad protocol version
identification '\026\003' from a.b.c.d
Jun 7 10:56:05 julie sshd[1150]: Bad protocol version
identification 'GET / HTTP/1.0' from a.b.c.d
Dernæst 17 linier, hvor jeg viser de fire første,
resten er skåret over samme læst:
/var/log/auth.log:Jun 7 10:56:17 julie sshd[1232]:
Illegal user n3ssus from a.b.c.d
/var/log/auth.log:Jun 7 10:56:18 julie sshd[1235]:
Illegal user ro from a.b.c.d
/var/log/auth.log:Jun 7 10:56:19 julie sshd[1238]:
Illegal user rwa from a.b.c.d
/var/log/auth.log:Jun 7 10:56:19 julie sshd[1240]:
Illegal user db2as from a.b.c.d
Først indlognigs-forsøg starter kl. 10:56:17 og sidste
10:58:34, dvs. 2 min. og 17. sek.
Jeg bruger pf på FreeBSD 5.4 stable, a.b.c.d er en
officiel adresse i min dmz-zone. Det pudsige er at
a.b.c.d tilhører en maskine som pt. er slukket, mens
julie er en aktiv webserver.
Jeg tillader ssh fra kendte adresser, der er tale om
18 adresser. Jeg laver også en omdirigering fra port
23 til 22 hvor jeg kan ssh hvor som helst fra.
Jeg tillader ssh til dmz fra nettet som vores
internet-router sidder på, en cisco.
Jeg googler på det, og finder henvisninger til at det
er et forsøg på at oprette en bruger vha. buffer
overflow, og dernæst prøver den med forskellige
brugere. Men det jeg ikke helt forstår er afsender
ip-adressen a.b.c.d som jo er en adresse i dmz, men på
en maskine er pt. er slukket.
Hilsen
Claus
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:25:00 CET