Fórum Root.cz

Hlavní témata => Server => Téma založeno: Ħαℓ₸℮ℵ ␏⫢ ⦚ 22. 03. 2024, 10:44:27

Název: Rozdíl mezi „Failed password for Invalid user“ a „Invalid user“
Přispěvatel: Ħαℓ₸℮ℵ ␏⫢ ⦚ 22. 03. 2024, 10:44:27: Jaký je rozdíl v sshd logu mezi některými záznamy ? Myslím tím, fáze přihlašování, okolnosti klienta a spojení
Tyto dva:
Invalid user rrr from 193.218.xxx port 39592
Failed password for invalid user ftptest from 150.1x9.254.133 port 56342 ssh2
A co znamená ssh2 na konci, často tam je [preauth]. Proč tam ssh2 je, pokud k přihlášení ani dojít nemohlo ?

Dál tyto 2:
Connection closed by 167.248.133.128 port 55704 [preauth]
Connection closed by authenticating user root 117.72.2x6.25 port 57417 [preauth]

Je možné odhalit existenci username ještě před zadáním hesla? V podstatě ekvivalenciv webovém formuláři, jestli při zadání špatného hesla dozvím uživatel neexistuje a nebo obšírnější špatné přihlašovací údaje.

Ptám se proto, že od včera boti našly můj tajný port a zkouší se přihlašovat. ASi nějaký botnet, protože je to desítka adres bez seskupení. Roota mám prohibit,password, usera netriviální jména a nasadil jsem i iptables-recent-DROP
Název: Re:Rozdíl v logu sshd ^Failed password for invalid user“ a „Invalid user“
Přispěvatel: Ħαℓ₸℮ℵ ␏⫢ ⦚ 22. 03. 2024, 11:05:08: Upozornění: Titulek vlákna nevyjadřuje podstatu věci, nevím, jestli ho někdo upravil, ale správně by mělo být ^Invalid user rrr a ^Failed password for invalid user
Název: Re:Rozdíl mezi „Failed password for Invalid user“ a „Invalid user“
Přispěvatel: Ħαℓ₸℮ℵ ␏⫢ ⦚ 22. 03. 2024, 11:22:25: Dá se z toho zjistit, zda jde o nějaký botnet? S těmito podmínkami:
-Zkoumat jednu IP po druhé by bylo zdlouhavé. Zadat tedy seznam adres (to je fakt za jeden den!) - zda to dokáže říct víc, právě s informací, které adresy pospolu dělaly útok
- I pokud zadávám rozsahy /24 místo konkrétních IP adres.
Kód: [Vybrat]
maska/24 24 102.220.23 24 104.236.200 27 43.163.239 28 34.81.69 29 159.203.142 30 117.163.56 30 141.147.180 32 101.43.234 32 23.95.96 34 110.239.93 34 154.68.39 34 43.133.36 34 43.157.57 35 103.92.47 35 150.109.198 35 43.153.66 35 43.159.35 36 103.147.242 36 162.62.132 36 165.227.85 36 186.67.248 36 190.85.15 36 190.92.215 36 24.57.45 36 43.133.33 36 43.134.174 36 43.153.180 36 43.153.62 36 49.51.200 36 61.246.80 37 103.143.249 37 117.102.82 37 150.109.254 37 162.243.154 37 178.128.73 37 202.145.0 37 220.127.251 37 43.131.60 37 43.156.174 37 43.157.29 37 45.173.44 39 164.90.182 39 217.218.56 39 43.135.158 39 51.210.243 39 52.227.167 53 43.163.234 72 124.156.211
43.153.0.0 je tencent, 43.173.0.0, 103.192/16 taky AS9808 China Mobile Communications Group Co., Ltd.
Název: Re:Rozdíl mezi „Failed password for Invalid user“ a „Invalid user“
Přispěvatel: Rovano _ 22. 03. 2024, 13:03:11: Místo zkoumání odkud a co to je, bych řešil jiné věci.
Co budeš dělat, až přijde útok z území EU?
Název: Re:Rozdíl mezi „Failed password for Invalid user“ a „Invalid user“
Přispěvatel: Jose D 23. 03. 2024, 11:43:26: Citace: Ħαℓ₸℮ℵ ␏⫢ ⦚ 22. 03. 2024, 11:22:25
Dá se z toho zjistit, zda jde o nějaký botnet?

no, teoreticky: mohl bys je nechat naskákat na nějaký honeypot.
Pak podle patternů koukat, a při podobnosti akcí vyhodnotit...

Prakticky.. pokud někdo zkouší login přes SSH tak to není nic proti ničemu...

Ty ASN co zmiňuješ buší do SSH portů standardně, myslím, že kluci a holky z Turrisu na to mají nějakou databázi, ve které se na to dá koukat.
Název: Re:Rozdíl mezi „Failed password for Invalid user“ a „Invalid user“
Přispěvatel: Ħαℓ₸℮ℵ ␏⫢ ⦚ 23. 03. 2024, 14:28:46: A víte o nějakém dobrém tutoriálu při rozkrývání toho trafficu z těch honepotových databází / projektu sentinelu nebo. Nebo existuje něco opensource. V tomhle nemám znalosti , kde čerpat nebo , něco jako RBL databáze.... Nějaký úvod do problematiky, a nějaké zajímavá odhalení

Pro útok z EU je něco speciálního, nebo proč to zmiňuješ?