Это попытка взлома сервера или нет?

NikolayNidvoray, 430 просмотров

вот что говорит лог
------------------
user@server:/home/clo$ cat /var/log/auth.log |grep 89.113.112.2
May 2 02:17:29 bolt sshd[5738]: Did not receive identification string from 89.113.112.2
May 2 02:25:09 bolt sshd[5742]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=89.113.112.2 user=root
May 2 02:25:12 bolt sshd[5742]: Failed password for root from 89.113.112.2 port 61903 ssh2
May 2 02:25:13 bolt sshd[5744]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=89.113.112.2 user=root
May 2 02:25:15 bolt sshd[5744]: Failed password for root from 89.113.112.2 port 54132 ssh2
May 2 02:25:25 bolt sshd[5746]: Invalid user apple from 89.113.112.2
May 2 02:25:25 bolt sshd[5746]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=89.113.112.2
May 2 02:25:27 bolt sshd[5746]: Failed password for invalid user apple from 89.113.112.2 port 60514 ssh2
nickolay@bolt:/home/clo$ cat /var/log/auth.log |grep 89.113.112.2
May 2 02:17:29 bolt sshd[5738]: Did not receive identification string from 89.113.112.2
May 2 02:25:09 bolt sshd[5742]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=89.113.112.2 user=root
May 2 02:25:12 bolt sshd[5742]: Failed password for root from 89.113.112.2 port 61903 ssh2
May 2 02:25:13 bolt sshd[5744]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=89.113.112.2 user=root
May 2 02:25:15 bolt sshd[5744]: Failed password for root from 89.113.112.2 port 54132 ssh2
May 2 02:25:25 bolt sshd[5746]: Invalid user apple from 89.113.112.2
May 2 02:25:25 bolt sshd[5746]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=89.113.112.2
May 2 02:25:27 bolt sshd[5746]: Failed password for invalid user apple from 89.113.112.2 port 60514 ssh2
---------------------------
помимо этого постоянно перебираются юзеры и пароли с китайских прокси, это один из российских ip
может стоит написать провайдеру? или посоветуйте еще какиенибудь действия в такой ситуации.

Ответы:

Vitaly-afas

Ну да, похоже кто-то тупо подбирает пароль. Проще заблокировать адрес. Ну, можно и провайдеру написать, что хакер доморощенный у них завёлся.

Alex Osipenko

Надо не смотреть и спрашивать, а блокировать и обращаться.

NikolayNidvoray

ну в плане блокировать, можно конечно попробовать, а вот обращатся - если человек выходит через прокси сервер китайский, писать китайскому провайдеру?

Почитать можно тут:http://www.securitylab.ru/analytics/216225.php

Это авторутеры - программы, которые перебирают наиболее вероятные имена пользователей такие как test, demo, nobody и простые пароли. Получает доступ к твоему компьютеру и уже с твоего компьютера начинают сканировать другие компьютеры.

Андрей AC

Все выставленные в интернет серверы непрерывно пытаются ломать / подбирать пароли. Если уверены в своей защите, то можно просто игнорировать - писать/жаловаться владельцам IP уже лет 10 как бессмысленно. Если сканеры эти напрягают систему (запись лога и т.п.), то можно в acl записать те подсети, с которых можно коннектиться к вашим сервисам, меньше будет обращений к pam и меньше лога.

17 лет назад

RPI.su - самая большая русскоязычная база вопросов и ответов. Наш проект был реализован как продолжение популярного сервиса otvety.google.ru, который был закрыт и удален 30 апреля 2015 года. Мы решили воскресить полезный сервис Ответы Гугл, чтобы любой человек смог публично узнать ответ на свой вопрос у интернет сообщества.

Все вопросы, добавленные на сайт ответов Google, мы скопировали и сохранили здесь. Имена старых пользователей также отображены в том виде, в котором они существовали ранее. Только нужно заново пройти регистрацию, чтобы иметь возможность задавать вопросы, или отвечать другим.

Чтобы связаться с нами по любому вопросу О САЙТЕ (реклама, сотрудничество, отзыв о сервисе), пишите на почту [email protected]. Только все общие вопросы размещайте на сайте, на них ответ по почте не предоставляется.