Hacker chines ?? Segurança

1. Hacker chines ?? Segurança

bestmoor
bestmoor

(usa Debian)

Enviado em 10/12/2016 - 14:39h

Ola amigo.
Verifiquei nos logs de alguns servidores algunas tentativas de acesso no root .
Parece scaner de força bruta . pesquisei na net . tem varios relatos de origem do mesmo IP . alguem ja possou por isso .
gerencio meus servidores via SSH e Webmin . Sera que devo ficar preocupado ?

ip de origem https://www.abuseipdb.com/check/58.218.199.165

log



Dez 10 14:34:14 internet- kernel: squidGuard[20880]: segfault at d8 ip 00007f09f4b5fe22 sp 00007ffdd422f7a0 error
Dez 10 14:33:37 internet- sshd[20887]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= r
Dez 10 14:33:37 internet-sshd[20887]: Received disconnect from 58.218.199.165: 11: [preauth]
Dez 10 14:33:37 internet-sshd[20887]: Failed password for root from 58.218.199.165 port 26555 ssh2
Dez 10 14:33:35 internet-sshd[20887]: Failed password for root from 58.218.199.165 port 26555 ssh2
Dez 10 14:33:32 internet-sshd[20887]: Failed password for root from 58.218.199.165 port 26555 ssh2




  


2. Re: Hacker chines ?? Segurança

Guilherme
Ghost_Shell

(usa Arch Linux)

Enviado em 10/12/2016 - 15:05h

bestmoor escreveu:

Ola amigo.
Verifiquei nos logs de alguns servidores algunas tentativas de acesso no root .
Parece scaner de força bruta . pesquisei na net . tem varios relatos de origem do mesmo IP . alguem ja possou por isso .
gerencio meus servidores via SSH e Webmin . Sera que devo ficar preocupado ?

ip de origem https://www.abuseipdb.com/check/58.218.199.165

log



Dez 10 14:34:14 internet- kernel: squidGuard[20880]: segfault at d8 ip 00007f09f4b5fe22 sp 00007ffdd422f7a0 error
Dez 10 14:33:37 internet- sshd[20887]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= r
Dez 10 14:33:37 internet-sshd[20887]: Received disconnect from 58.218.199.165: 11: [preauth]
Dez 10 14:33:37 internet-sshd[20887]: Failed password for root from 58.218.199.165 port 26555 ssh2
Dez 10 14:33:35 internet-sshd[20887]: Failed password for root from 58.218.199.165 port 26555 ssh2
Dez 10 14:33:32 internet-sshd[20887]: Failed password for root from 58.218.199.165 port 26555 ssh2



Bom se você prestou atenção tem um monte de reclamações sobre brute force vindo desse ip. Parece que o xingling está querendo fazer uma visita no seu servidor.

Ps: É obvio que esse não é o ip dele(ele teria que ser muito burro).

Keep it simple stupid!


4. Re: Hacker chines ?? Segurança

bestmoor
bestmoor

(usa Debian)

Enviado em 12/12/2016 - 10:47h



obrigado pelas ajudas
acrescentei no firewall as linhas abaixo . vou monitorar os logs

iptables -I INPUT -p tcp --dport 22 -i eth2 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth2 -m state --state NEW -m recent --update --seconds 600 --hitcount 4 -j DROP
iptables -I INPUT -p tcp --dport 22 -i eth1 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth1 -m state --state NEW -m recent --update --seconds 600 --hitcount 4 -j DROP
iptables -A INPUT -s 58.218.204.181 -j DROP






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts