sindreij Skrevet 25. november 2007 Skrevet 25. november 2007 (endret) Jeg har mange av disse i min auth.log. Hva kan det bety. Det er samme ip-adresser hele tiden: Nov 25 09:45:21 server sshd[12205]: Bad protocol version identification 'CONNECT 194.109.153.2:6667 HTTP/1.0' from UNKNOWNNov 25 09:45:27 server sshd[12204]: Did not receive identification string from 66.225.225.224 Jeg har funnet ut at 194.109.153.2 er en ip fra nederland som kjører en irc-server på port 6667. Hvis du kobler til irc-serveren kommer det vanlige irc-greiene opp: * Looking up 194.109.153.2* Connecting to 194.109.153.2 (194.109.153.2) port 6667... * Connected. Now logging in... * Proxy Check * *** Processing connection to irc.beyonce.nl * *** Looking up your hostname... * *** Checking Ident * *** Found your hostname * *** No Ident response * Welcome to the CNQnet Internet Relay Chat Network * Your host is irc.beyonce.nl[irc.beyonce.nl/6667], running version ircd-ratbox-2.2.3 * This server was created Fri Aug 4 2006 at 14:59:04 CEST * irc.beyonce.nl ircd-ratbox-2.2.3 oiwszcerkfydnxbauglZCD biklmnopstveI bkloveI * CHANTYPES= EXCEPTS INVEX CHANMODES=eIb,k,l,imnpst CHANLIMIT=:25 PREFIX=(ov)@+ MAXLIST=beI:100 NETWORK=CNQnet MODES=4 STATUSMSG=@+ KNOCK CALLERID=g :are supported by this server * SAFELIST ELIST=U CASEMAPPING=rfc1459 CHARSET=ascii NICKLEN=9 CHANNELLEN=50 TOPICLEN=160 ETRACE CPRIVMSG CNOTICE DEAF=D MONITOR=60 :are supported by this server * TARGMAX=NAMES:1,LIST:1,KICK:1,WHOIS:1,PRIVMSG:4,NOTICE:4,ACCEPT:,MONITOR: :are supported by this server * There are 10 users and 76 invisible on 12 servers * 7 :IRC Operators online * 25 :channels formed * I have 16 clients and 1 servers * 16 21 :Current local users 16, max 21 * 86 103 :Current global users 86, max 103 * Highest connection count: 22 (21 clients) (1189 connections received) * - irc.beyonce.nl Message of the Day - * - This is ircd-ratbox MOTD you might replace it, but if not your friends will * - laugh at you. * End of /MOTD command. Hva er dette for noe og er det noe jeg bør være redd for? Kan det hende 66.225.225.224 tror jeg er en proxy? Jeg kjører sshd på port 443 (https) så det kan ha noe med saken å gjøre. Endret 25. november 2007 av sindreij
kommers Skrevet 26. november 2007 Skrevet 26. november 2007 For meg ser det ut som om det kan være noen som prøver å sende deg en (dårlig) HTTP-forespørsel på porten du kjører sshd på (de tror jo at det er en http-server der), og HTTP-forespørselen inneholder en slags kommando for at du skal koble til IRC-servern. Dvs det er sikkert et opplegg for enkelte trojanere, slik at hadde du vært infisert så hadde det funket, og du ville koblet til IRC og mottatt flere kommandoer/gjort "morsomme" ting fra de som prøver å skape et bot-net eller lignende.
sindreij Skrevet 26. november 2007 Forfatter Skrevet 26. november 2007 (endret) Kan det være en grunn til at det repeterer seg med samme ip-er. Her fra forige ukes auth.log: Nov 18 09:36:07 server sshd[16997]: Bad protocol version identification 'CONNECT 194.109.153.2:6667 HTTP/1.0' from UNKNOWNNov 18 09:36:15 server sshd[16996]: Did not receive identification string from 66.225.225.224 -- Nov 19 17:03:30 server sshd[18338]: Bad protocol version identification 'CONNECT 194.109.153.2:6667 HTTP/1.0' from UNKNOWN Nov 19 17:03:41 server sshd[18337]: Did not receive identification string from 66.225.225.224 -- Nov 19 19:33:12 server sshd[18431]: Bad protocol version identification 'CONNECT 194.109.153.2:6667 HTTP/1.0' from UNKNOWN Nov 19 19:33:23 server sshd[18430]: Did not receive identification string from 66.225.225.224 -- Nov 21 08:30:52 server sshd[26589]: Did not receive identification string from 66.225.225.224 Nov 21 08:30:59 server sshd[26590]: Bad protocol version identification 'CONNECT 194.109.153.2:6667 HTTP/1.0' from UNKNOWN -- Nov 21 18:33:23 server sshd[27826]: Bad protocol version identification 'CONNECT 207.45.69.69:11111 HTTP/1.0' from UNKNOWN Nov 21 18:33:31 server sshd[27827]: Did not receive identification string from 207.45.69.69 -- Nov 21 18:53:38 server sshd[27838]: Bad protocol version identification 'CONNECT 207.45.69.69:11111 HTTP/1.0' from UNKNOWN -- Nov 22 21:32:17 server sshd[6282]: Bad protocol version identification 'CONNECT 194.109.153.2:6667 HTTP/1.0' from UNKNOWN Nov 22 21:32:22 server sshd[6281]: Did not receive identification string from 66.225.225.224 -- Nov 23 15:39:22 server sshd[7879]: Bad protocol version identification 'CONNECT 194.109.153.2:6667 HTTP/1.0' from UNKNOWN Nov 23 15:39:33 server sshd[7878]: Did not receive identification string from 66.225.225.224 -- Nov 23 21:15:44 server sshd[8306]: Bad protocol version identification 'CONNECT 194.109.153.2:6667 HTTP/1.0' from UNKNOWN Nov 23 21:15:50 server sshd[8305]: Did not receive identification string from 66.225.225.224 -- Nov 24 14:49:01 server sshd[9740]: Bad protocol version identification 'CONNECT 194.109.153.2:6667 HTTP/1.0' from UNKNOWN Nov 24 14:49:08 server sshd[9739]: Did not receive identification string from 66.225.225.224 Med to unntak er det samme ip-er. Hvorfor gir han ikke opp? Når jeg sjekker ip-en 66.225.225.224 er hostnamet: proxyscanner.irc.servercentral.net. Betyr det at de sjekker om jeg er en proxy? EDIT: Nå fant jeg det ut. Når jeg kobler meg på IRC så scanner en proxychecker meg og ser om jeg er en åpen proxy. Mer info her: http://forums.bsdnexus.com/viewtopic.php?pid=14551 Da er det bare å stenge ip-en ute i firewallen min så slipper jeg at den spammer ned loggene mine. EDIT2: Da var det bekreftet, idet jeg kom hjem og koblet meg på IRC, kom den samme meldingen. Endret 26. november 2007 av sindreij
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå