försök till dataintrång i min server
- Thomas
- Inlägg: 320
- Blev medlem: 07 jan 2006, 02:01
- OS: Ubuntu
- Utgåva: 23.04 Lunar Lobster
- Ort: malmö
försök till dataintrång i min server
Hej.
hoppas jag postar i rätt del på forumet nu.
Det är så att jag får en jävla massa försök till intrång i min linux burk. Kör den som router, brandvägg, filserver.
Kör med firestarter just nu. Det jag skulle vilja göra är att göra motatacker mot dom här ip nr. Så försöker dom ansluta på tex port 22 så ska min dator svara med att göra samma sak, eller kanske till och med skicka 100 försök på just den porten varje gång dom försöker ansluta en gång. Gör man så kanske dom ger upp för eller senare. Satt och kollade lite ip nr i innan idag, hade 400 försök på blandade portar från ett och samma ip nr. Och logen gick väl bara så där 2 dagar tillbaka.
hoppas jag postar i rätt del på forumet nu.
Det är så att jag får en jävla massa försök till intrång i min linux burk. Kör den som router, brandvägg, filserver.
Kör med firestarter just nu. Det jag skulle vilja göra är att göra motatacker mot dom här ip nr. Så försöker dom ansluta på tex port 22 så ska min dator svara med att göra samma sak, eller kanske till och med skicka 100 försök på just den porten varje gång dom försöker ansluta en gång. Gör man så kanske dom ger upp för eller senare. Satt och kollade lite ip nr i innan idag, hade 400 försök på blandade portar från ett och samma ip nr. Och logen gick väl bara så där 2 dagar tillbaka.
SV: försök till dataintrång i min server
Vilket IP nummer kom det där ifrån?
LJ
LJ
SV: försök till dataintrång i min server
Hej Tomas.
Jag kan rekommendera dig att installera ett program som automatiskt slänger in en iptables regel vid felaktiga inloggningsförsök.
Som t.ex fail2ban. Om tre felaktiga inloggningsförsök upptäcks kommer fail2ban att konfigurera en iptables regel som inte tillåter anslutning till din server igen på en timme (dess värden kan givetvis ändras)..
Det är aldrig bra att bemöta en olaglig handling med en olaglig handling, oftast är det redan crackade system som försöker bryta sig in i ditt system, alltså en stackars oskyldig person
ett annat tips är att byta ssh porten från port 22 till något annat..
Jag kan rekommendera dig att installera ett program som automatiskt slänger in en iptables regel vid felaktiga inloggningsförsök.
Som t.ex fail2ban. Om tre felaktiga inloggningsförsök upptäcks kommer fail2ban att konfigurera en iptables regel som inte tillåter anslutning till din server igen på en timme (dess värden kan givetvis ändras)..
Det är aldrig bra att bemöta en olaglig handling med en olaglig handling, oftast är det redan crackade system som försöker bryta sig in i ditt system, alltså en stackars oskyldig person

ett annat tips är att byta ssh porten från port 22 till något annat..
________________________________________________________________
twitter @ BarreGargamel
blogg @ Gargamel.NU
twitter @ BarreGargamel
blogg @ Gargamel.NU
- Sprak
- Inlägg: 394
- Blev medlem: 27 sep 2006, 22:55
- OS: Ubuntu
- Utgåva: 16.04 Xenial Xerus LTS
- Ort: Götet/Vänersborg
SV: försök till dataintrång i min server
Troligtvis är de datorerna som försöker logga in på din dator redan kapade datorer så det kommer inte att hjälpa särskilt mycket att göra en "motattack" mot dem. Det är väldigt sällan det sitter riktiga människor bakom sådana här attacker, utan oftast så är det automatiska skript som flyter runt och slentrianmässigt attackerar slumpmässiga datorer. Målet kan vara att sälja de kapade datorerna vidare till ljusskygga personer som vill skicka ut spam eller sätta upp falska banksidor.
Precis som Barre skrev så är den enklaste lösningen helt enkelt att byta port för ssh (/etc/ssh/sshd_config)
Precis som Barre skrev så är den enklaste lösningen helt enkelt att byta port för ssh (/etc/ssh/sshd_config)
- Thomas
- Inlägg: 320
- Blev medlem: 07 jan 2006, 02:01
- OS: Ubuntu
- Utgåva: 23.04 Lunar Lobster
- Ort: malmö
SV: försök till dataintrång i min server
ssh ligger på en helt annan port..gjort hela tiden.
Dom två ip nr som ligger på och försöker göra mest anslutningsförsök är kunder hos Bredbandsbolaget. Drog iväg ett Abuse till dom med logfiler från brandväggen, gjorde det i går förmidags och dom har inte orkat höra av sig.
Är portanar dom 2 ip nr försöker ansluta på.
Har testa att byta mitt eget ip nr men då är det lungt i 2-3 dagar sen kommer dom två ip nr igen i logen.
peppar peppar ta i träd så har jag inte haft några försök från dom ip nr sen i går kväll.
Dom två ip nr som ligger på och försöker göra mest anslutningsförsök är kunder hos Bredbandsbolaget. Drog iväg ett Abuse till dom med logfiler från brandväggen, gjorde det i går förmidags och dom har inte orkat höra av sig.
Kod: Markera allt
161 snmp
80 HTTP
139 Samba (smb)
445 Microsoft-ds
137 Samba (smb)
138 Samba (smb)
10421 Okänd
10426 Okänd
Har testa att byta mitt eget ip nr men då är det lungt i 2-3 dagar sen kommer dom två ip nr igen i logen.
peppar peppar ta i träd så har jag inte haft några försök från dom ip nr sen i går kväll.
- maths57
- Inlägg: 2911
- Blev medlem: 22 jun 2007, 15:10
- OS: Ubuntu
- Utgåva: 22.10 Kinetic Kudu
- Ort: Stockholm
SV: försök till dataintrång i min server
Det finns robotar där ute som bara söker av internet efter öppna datorer. Främst Windows. I min D-Link router får jag sånt här hela tiden i loggen. Om allt är stängt borde ingen kunna ta sig in.
- Thomas
- Inlägg: 320
- Blev medlem: 07 jan 2006, 02:01
- OS: Ubuntu
- Utgåva: 23.04 Lunar Lobster
- Ort: malmö
SV: försök till dataintrång i min server
ju jag vet att där finns robotar som säker av nätet..men det som är rätt intersant i det här är att jag har BBB och mitt ip nr 213.113.24X.XXX och dom här försken kommer i från 213.113.24X.XXX gruppen..allså kunder hos bbb i malmö området.
får väl se vad bbb svara på min abuse anmällan till dom. sedan jag mail dom ang det här så har jag inte haft några försök från dom 2 ip nr..haft en del annat men det kan man leva med om man ha 10 försök på 12-14 timmar så..
får väl se vad bbb svara på min abuse anmällan till dom. sedan jag mail dom ang det här så har jag inte haft några försök från dom 2 ip nr..haft en del annat men det kan man leva med om man ha 10 försök på 12-14 timmar så..
SV: försök till dataintrång i min server
**följer det här med stor nyfikenhet**
-
- Inlägg: 159
- Blev medlem: 18 nov 2006, 17:28
- OS: Ubuntu
- Utgåva: 16.04 Xenial Xerus LTS
- Ort: Malmö
SV: försök till dataintrång i min server
Hejsan!
Barre du rekomenderade att byta port för ssh till en annan än port 22. Vilken port är lämplig att byta till. måste man efter ett portbyte aktivt ange port om man ssh:ar till sin dator från en annan? och hur gör man då?
(förlåt att jag lånade tråden lite)
Barre du rekomenderade att byta port för ssh till en annan än port 22. Vilken port är lämplig att byta till. måste man efter ett portbyte aktivt ange port om man ssh:ar till sin dator från en annan? och hur gör man då?
(förlåt att jag lånade tråden lite)
SV: försök till dataintrång i min server
Jadu, vilken port som rekomenderas vet jag inte.. personligen skulle jag valt ett högt portnummer (över 1024), men som är "enkel" att komma ihåg.Sualo skrev: Hejsan!
Barre du rekomenderade att byta port för ssh till en annan än port 22. Vilken port är lämplig att byta till. måste man efter ett portbyte aktivt ange port om man ssh:ar till sin dator från en annan? och hur gör man då?
(förlåt att jag lånade tråden lite)
När du sen ansluter dig till servers måste du ange porten du vill ansluta dig till. Låt oss anta att du satt port 33333 för sshd.
för att ansluta dig skriver du "bara"
ssh -p 33333 user@host.domain.net
________________________________________________________________
twitter @ BarreGargamel
blogg @ Gargamel.NU
twitter @ BarreGargamel
blogg @ Gargamel.NU
-
- Inlägg: 159
- Blev medlem: 18 nov 2006, 17:28
- OS: Ubuntu
- Utgåva: 16.04 Xenial Xerus LTS
- Ort: Malmö
SV: försök till dataintrång i min server
Tack så mkt!!! 

- johanre
- Serveradmin
- Inlägg: 3888
- Blev medlem: 22 okt 2006, 09:13
- OS: Ubuntu
- Utgåva: 22.04 Jammy Jellyfish LTS
- Ort: Malmö
SV: försök till dataintrång i min server
På senare tid (~5 år) upplever jag att Abuse anmälningar är som att skicka mail till /dev/null.. Jag får ytterst sällan något svar tillbaks. Däremot så är jag ganska säker på att något görs hos mottagaren / ISPen men att de har blivit väldigt dåliga på att återkomma med rapport om vad de har / inte har gjort.Thomas skrev: får väl se vad bbb svara på min abuse anmällan till dom. sedan jag mail dom ang det här så har jag inte haft några försök från dom 2 ip nr..haft en del annat men det kan man leva med om man ha 10 försök på 12-14 timmar så..
Därmed inte sagt att jag har gett upp; jag fortsätter skicka in Abuse anmälningar men jag förväntar mig aldrig ett svar.
- Thomas
- Inlägg: 320
- Blev medlem: 07 jan 2006, 02:01
- OS: Ubuntu
- Utgåva: 23.04 Lunar Lobster
- Ort: malmö
SV: försök till dataintrång i min server
Sist jag skickade en abuse anmälningn så fick jag svar på ett par timmar och det var med hos bbb.. Men det är ju bara skicka på och hoppas på det bästa.Nått måste ju ha hänt, för att jag inte har fått några försök på 2 dagar typ från dom två ip.
- Mekaniserad Apelsin
- Hedersmedlem
- Inlägg: 3777
- Blev medlem: 27 maj 2006, 12:24
- OS: Ubuntu
- Ort: Stockholm
- Kontakt:
SV: försök till dataintrång i min server
Det andra alternativet (spamma med samma sak) är ganska dumt och ställer ofta mer till besvär för dig själv.Thomas skrev: Kör med firestarter just nu. Det jag skulle vilja göra är att göra motatacker mot dom här ip nr. Så försöker dom ansluta på tex port 22 så ska min dator svara med att göra samma sak, eller kanske till och med skicka 100 försök på just den porten varje gång dom försöker ansluta en gång.
Det går däremot att använda målet MIRROR i iptables så att all sådan trafik skickas direkt tillbaka till målet, dvs de tror du anslutit till dig, fast de anslutit till sig själva.
More Mekaniserad at http://blippe.se.
- Thomas
- Inlägg: 320
- Blev medlem: 07 jan 2006, 02:01
- OS: Ubuntu
- Utgåva: 23.04 Lunar Lobster
- Ort: malmö
SV: försök till dataintrång i min server
låter intersant.. ska ta och läsa på om det i morgon 

- vulfgar
- ung forumnörd
- Inlägg: 12893
- Blev medlem: 01 okt 2006, 22:31
- OS: Ubuntu
- Utgåva: 22.04 Jammy Jellyfish LTS
- Ort: Bohuslän
SV: försök till dataintrång i min server
Kan det inte vara någon som laddar ner torrents eller via nåt p2p-nätverk som gjort intrångsförsöken "oavsiktligt"? Om man inte har fast IP så finns ju risken att man får ett nummer som använts av nån tankare. Eller är det andra portar inblandade då, kanske?
På internet vet ingen att du är en hund. ..... ~~~ ..... I'm a bitch! 

- Thomas
- Inlägg: 320
- Blev medlem: 07 jan 2006, 02:01
- OS: Ubuntu
- Utgåva: 23.04 Lunar Lobster
- Ort: malmö
SV: försök till dataintrång i min server
inte varit någon torrents eller p2p-netverk mot den servern..och oftas så kör man på andra protar när det gäller torrents o så..
har inte fast ip eller ju det blir det när burken står på 24/7.
men det har iaf sluta sen jag skickade abuse anmälningn så får väl se hur länge det går
kanske så att bbb har stängt av den / dom från sitt nätet. gjort en djupare undersöking och sett att dom har portscanat fler än mig.
men ska läsa om den här miror saker i morgon
om inte annat för att det kan va bra att ha
har inte fast ip eller ju det blir det när burken står på 24/7.
men det har iaf sluta sen jag skickade abuse anmälningn så får väl se hur länge det går

men ska läsa om den här miror saker i morgon
