作者 主題: 公司的Server,有人企圖連進來!!  (閱讀 14882 次)

0 會員 與 1 訪客 正在閱讀本文。

rabinson

  • 可愛的小學生
  • *
  • 文章數: 10
    • 檢視個人資料
公司的Server,有人企圖連進來!!
« 於: 2004-11-13 22:35 »
Dear ALL:
   我在公司Server上看了一下LOGWITCH,發現有人一直在TRY我SSH的帳號和密碼想登入進來...以下是一小段LOGWITCH的內容

--------------------- pam_unix Begin ------------------------

pop:
   Unknown Entries:
      authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=61.66.6.77
user=jerry: 2 Time(s)

sshd:
   Authentication Failures:
      unknown (213.229.41.24 ): 9 Time(s)
      unknown (puretek.com.tw ): 59 Time(s)
   Invalid Users:
      Unknown Account: 68 Time(s)


 ---------------------- pam_unix End -------------------------

 --------------------- SSHD Begin ------------------------


Failed logins from these:
   adm/password from 61.66.74.133: 2 Time(s)
   admin/password from 213.229.41.24: 2 Time(s)
   apache/password from 61.66.74.133: 1 Time(s)
   cosmin/password from 61.66.74.133: 1 Time(s)
   cyrus/password from 61.66.74.133: 1 Time(s)
   guest/password from 213.229.41.24: 1 Time(s)
   horde/password from 61.66.74.133: 1 Time(s)
   iceuser/password from 61.66.74.133: 1 Time(s)
   irc/password from 61.66.74.133: 2 Time(s)
   jane/password from 61.66.74.133: 1 Time(s)
   matt/password from 61.66.74.133: 1 Time(s)
   mysql/password from 61.66.74.133: 1 Time(s)
   nobody/password from 61.66.74.133: 1 Time(s)
   operator/password from 61.66.74.133: 1 Time(s)
   pamela/password from 61.66.74.133: 1 Time(s)
   patrick/password from 61.66.74.133: 2 Time(s)
   rolo/password from 61.66.74.133: 1 Time(s)
   root/password from 213.229.41.24: 3 Time(s)
   root/password from 61.66.74.133: 34 Time(s)
   test/password from 213.229.41.24: 2 Time(s)
   test/password from 61.66.74.133: 4 Time(s)
   user/password from 213.229.41.24: 1 Time(s)
   www-data/password from 61.66.74.133: 1 Time(s)
   www/password from 61.66.74.133: 1 Time(s)
   wwwrun/password from 61.66.74.133: 1 Time(s)
   ......
   ......(以下省略)


   我查了一下是一家叫做“世峰股份有限公司“
   請問我該如何做?  寫mail給對方的MIS嗎(說不定兇手就是他 @@)
  還是mail給對方公司的主管?
  不知各位會怎麼處理這樣的問題?
ps:我應該會先知會我的主管讓他知道有這個問題!!

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
公司的Server,有人企圖連進來!!
« 回覆 #1 於: 2004-11-13 22:42 »
先蒐集證據, 整理好.........


然後打電話跟對方好好談, 說清楚. 如果是有敵意的行為, 就法院見吧..... 駭客在台灣可以判一年以上有期徒刑, 你還可以順便收一些賠償的零用錢花花, 跟老闆邀功等等...
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

rabinson

  • 可愛的小學生
  • *
  • 文章數: 10
    • 檢視個人資料
公司的Server,有人企圖連進來!!
« 回覆 #2 於: 2004-11-13 22:48 »
謝謝大大的建議 ^__^
先將證據準備齊全才好跟對方談

梁楓

  • 俺是博士!
  • *****
  • 文章數: 6220
    • 檢視個人資料
公司的Server,有人企圖連進來!!
« 回覆 #3 於: 2004-11-14 00:14 »
通常是對方以經被入侵了

mn921

  • 活潑的大學生
  • ***
  • 文章數: 375
    • 檢視個人資料
公司的Server,有人企圖連進來!!
« 回覆 #4 於: 2004-11-18 17:21 »
網路上一直討論的問題 port scan 合法嗎?  台灣沒禁止 port scan 這條法律,  那麼您要告誰?  
開放原始碼的 port scan 都有法律顧問  以前美國  在自己 LAN 搞 honey pot 誘捕駭客都可能被告  "誘人入罪"
台灣是 法官大人忙著簽樂透  您這小事 就自己看著辦!!
只能 block IP 不然您也掃過去 port scan  反正無政府狀況!!

Vic~

  • 活潑的大學生
  • ***
  • 文章數: 231
    • 檢視個人資料
公司的Server,有人企圖連進來!!
« 回覆 #5 於: 2004-11-18 18:03 »
網路安全還是要靠大家自律
同時也要求別人才好

不過
自己也要先懂得保護自己

wessley

  • 憂鬱的高中生
  • ***
  • 文章數: 185
    • 檢視個人資料
公司的Server,有人企圖連進來!!
« 回覆 #6 於: 2004-12-05 16:25 »
你還算好...
我查到的 ip 全都韓國的....
死阿里郎....
要抗議還不知道怎麼抗議咧

你可以寫給 ISP 速博請他們幫你處理

chris1129

  • 憂鬱的高中生
  • ***
  • 文章數: 142
    • 檢視個人資料
公司的Server,有人企圖連進來!!
« 回覆 #7 於: 2004-12-09 10:19 »
引述: "wessley"
你還算好...
我查到的 ip 全都韓國的....
死阿里郎....
要抗議還不知道怎麼抗議咧

你可以寫給 ISP 速博請他們幫你處理


請問我看/var/log/secure也發現好多人在try我的ssh 耶
Dec  9 04:04:25 dns sshd[17924]: Illegal user user from ::ffff:168.115.112.235
Dec  9 04:04:25 dns sshd[17925]: input_userauth_request: illegal user user
Dec  9 04:04:27 dns sshd[17924]: Failed password for illegal user user from ::ffff:168.115.112.235 port 47350 ssh2

請問我把監聽改成只有區網內監聽的話,可以排除嗎?

洋蔥叔叔

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 830
    • 檢視個人資料
    • 洋蔥叔叔的隨意漫談電腦、網路、.NET、軟體本地化、雜七雜八
公司的Server,有人企圖連進來!!
« 回覆 #8 於: 2004-12-09 10:30 »
可以減少,至少下次被portscan的時候不會被掃到
已經在try你Server的人只能等它們放棄

chris1129

  • 憂鬱的高中生
  • ***
  • 文章數: 142
    • 檢視個人資料
公司的Server,有人企圖連進來!!
« 回覆 #9 於: 2004-12-09 11:39 »
引述: "Demonbane"
可以減少,至少下次被portscan的時候不會被掃到
已經在try你Server的人只能等它們放棄


所以說用ip share 還是不如firewall 的rule來的好用囉.. :roll:

chris1129

  • 憂鬱的高中生
  • ***
  • 文章數: 142
    • 檢視個人資料
公司的Server,有人企圖連進來!!
« 回覆 #10 於: 2004-12-10 09:17 »
引述: "chris1129"
引述: "Demonbane"
可以減少,至少下次被portscan的時候不會被掃到
已經在try你Server的人只能等它們放棄


所以說用ip share 還是不如firewall 的rule來的好用囉.. :roll:


又來了,請問該怎麼做會安全點?小弟很擔心呢
Dec 10 06:12:23 dns sshd[24532]: Illegal user george from 69.64.142.5
Dec 10 06:12:23 dns sshd[24533]: input_userauth_request: illegal user george
Dec 10 06:12:25 dns sshd[24532]: Failed password for illegal user george from 69.64.142.5 port 44738 ssh2

洋蔥叔叔

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 830
    • 檢視個人資料
    • 洋蔥叔叔的隨意漫談電腦、網路、.NET、軟體本地化、雜七雜八
公司的Server,有人企圖連進來!!
« 回覆 #11 於: 2004-12-10 09:30 »
引用

又來了,請問該怎麼做會安全點?小弟很擔心呢

簡單,限定只有某些特定帳號可以登入,不要用易猜的密碼。

powerouch

  • 活潑的大學生
  • ***
  • 文章數: 234
    • 檢視個人資料
    • http://itmania.javamoh.net/s9y/
公司的Server,有人企圖連進來!!
« 回覆 #12 於: 2004-12-10 09:31 »
可行的話,關掉 sshd 的密碼驗證也許是個方法
'm no more than a fxxking coding monkey....

x3031022

  • 可愛的小學生
  • *
  • 文章數: 19
    • 檢視個人資料
公司的Server,有人企圖連進來!!
« 回覆 #13 於: 2004-12-16 16:57 »
小弟之前也有遇過,就直接打電話給對方公司的 MIS
並且將log寄給他看,後來他好像有發信警示他的 user
之後就沒這種情形了。

jo_man

  • 懷疑的國中生
  • **
  • 文章數: 57
    • 檢視個人資料
公司的Server,有人企圖連進來!!
« 回覆 #14 於: 2004-12-21 16:14 »
像這種情況各位學長們都是怎麼設 Firewall 的呢,能不能寫些

擋這種入侵行為(ssh)filter chain, 來參考呢   ?
INUX ,我會加油的,好像快瘋了。

bryan2u

  • 懷疑的國中生
  • **
  • 文章數: 64
    • 檢視個人資料
公司的Server,有人企圖連進來!!
« 回覆 #15 於: 2004-12-21 16:46 »
寫一支script,定時去分析/var/log/secure
如果發現有密集嘗試登入的ip
就將該ip加入/etc/hosts.deny,拒絕它連線

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
公司的Server,有人企圖連進來!!
« 回覆 #16 於: 2004-12-21 17:14 »
引述: "powerouch"
可行的話,關掉 sshd 的密碼驗證也許是個方法


這個方法是掩耳盜鈴而已,系統還是容易送給人家.........
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

achilles

  • 懷疑的國中生
  • **
  • 文章數: 30
    • 檢視個人資料
    • http://www.vixual.net/
公司的Server,有人企圖連進來!!
« 回覆 #17 於: 2005-03-03 15:27 »
引述: bryan2u
寫一支script,定時去分析/var/log/secure
如果發現有密集嘗試登入的ip
就將該ip加入/etc/hosts.deny,拒絕它連線

這樣的做法有點操系統,我寫了一支程式,可以及時解決這樣的問題,請看:
http://www.vixual.net/blog/archives/67
« 上次編輯: 2008-07-11 17:47 由 achilles »
Vixual 網路視野
http://www.vixual.net/