Hvilken type angrep ?

[teik]

Fikk dette fram i loggen:

Dec 22 17:36:07 mintos sshd[2017]: Did not receive identification string from 201.116.205.52

Dec 22 17:41:12 mintos sshd[2034]: reverse mapping checking getaddrinfo for static.customer-201-116-205-52.uninet-ide.com.mx [201.116.205.52] failed - POSSIBLE BREAK-IN ATTEMPT!

Dec 22 17:41:12 mintos sshd[2034]: Invalid user staff from 201.116.205.52

Dec 22 17:41:12 mintos sshd[2034]: pam_unix(ssh:auth): check pass; user unknown

Dec 22 17:41:12 mintos sshd[2034]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=201.116.205.52

Dec 22 17:41:13 mintos sshd[2034]: Failed password for invalid user staff from 201.116.205.52 port 56943 ssh2

Dec 22 17:41:16 mintos sshd[2038]: reverse mapping checking getaddrinfo for static.customer-201-116-205-52.uninet-ide.com.mx [201.116.205.52] failed - POSSIBLE BREAK-IN ATTEMPT!

 

Hva slags "angrep" er dette ?

[Ueland]

static.customer-201-116-205-52.uninet-ide.com.mx

maskinen som sitter der er nok en zombie som brukes i forsøk på å få cracket seg inn på linuxmaskinen min, for så å brukde den og som zombie. Så lenge du har skikkelige brukernavn og passord så kan du egentlig se bort fra det. Men er det plagsomt er det enkleste å bare blokkere IPen med IPTables.

[teik]

Har du det i hodet det som skal skrives til iptables ?

Ikke helt inne i iptables ennu :-(

[Ueland]

Tar jeg ikke helt feil kan du bruke:

sudo iptables -A INPUT -s "0.0.0.0" -j DROP (du ser nok hva som er IPen der)

 

og "sudo iptables -L -v -n| grep DROP", for å se hvor mye som blir droppet av IPTables av pakker.

[teik]

Mange takk :-) Ser ut til å virke...