Rozdíl mezi „Failed password for Invalid user“ a „Invalid user“

Jaký je rozdíl v sshd logu mezi některými záznamy ? Myslím tím, fáze přihlašování,  okolnosti  klienta a spojení
Tyto dva:
Invalid user rrr from 193.218.xxx port 39592
Failed password for invalid user ftptest from 150.1x9.254.133 port 56342 ssh2
A co znamená ssh2 na konci, často tam je [preauth]. Proč tam ssh2 je, pokud k přihlášení ani dojít nemohlo ?

Dál tyto 2:
Connection closed by 167.248.133.128 port 55704 [preauth]
Connection closed by authenticating user root 117.72.2x6.25 port 57417 [preauth]



Je možné odhalit existenci username ještě před zadáním hesla? V podstatě ekvivalenciv webovém formuláři, jestli při zadání špatného hesla dozvím uživatel neexistuje a nebo obšírnější špatné přihlašovací údaje.

Ptám se proto, že od včera boti našly můj tajný port a zkouší se přihlašovat. ASi nějaký botnet, protože je to desítka adres bez seskupení. Roota mám prohibit,password, usera netriviální jména a nasadil jsem i iptables-recent-DROP
« Poslední změna: 22. 03. 2024, 10:52:59 od Ħαℓ₸℮ℵ ␏⫢ ⦚ »


Upozornění: Titulek  vlákna nevyjadřuje podstatu věci, nevím, jestli ho někdo upravil, ale správně by mělo být ^Invalid user rrr a ^Failed password for invalid user

Dá se z toho zjistit, zda jde o nějaký botnet?  S těmito podmínkami:
-Zkoumat jednu IP po druhé by bylo zdlouhavé.  Zadat tedy seznam adres (to je fakt za jeden den!) - zda to dokáže říct víc, právě s informací, které adresy pospolu dělaly útok
- I pokud zadávám rozsahy /24 místo konkrétních IP adres.
Kód: [Vybrat]
maska/24     
    24 102.220.23
     24 104.236.200
     27 43.163.239
     28 34.81.69
     29 159.203.142
     30 117.163.56
     30 141.147.180
     32 101.43.234
     32 23.95.96
     34 110.239.93
     34 154.68.39
     34 43.133.36
     34 43.157.57
     35 103.92.47
     35 150.109.198
     35 43.153.66
     35 43.159.35
     36 103.147.242
     36 162.62.132
     36 165.227.85
     36 186.67.248
     36 190.85.15
     36 190.92.215
     36 24.57.45
     36 43.133.33
     36 43.134.174
     36 43.153.180
     36 43.153.62
     36 49.51.200
     36 61.246.80
     37 103.143.249
     37 117.102.82
     37 150.109.254
     37 162.243.154
     37 178.128.73
     37 202.145.0
     37 220.127.251
     37 43.131.60
     37 43.156.174
     37 43.157.29
     37 45.173.44
     39 164.90.182
     39 217.218.56
     39 43.135.158
     39 51.210.243
     39 52.227.167
     53 43.163.234
     72 124.156.211

43.153.0.0 je tencent,  43.173.0.0, 103.192/16 taky AS9808 China Mobile Communications Group Co., Ltd.
« Poslední změna: 22. 03. 2024, 11:31:16 od Ħαℓ₸℮ℵ ␏⫢ ⦚ »

Místo zkoumání odkud a co to je, bych řešil jiné věci.
Co budeš dělat, až přijde útok z území EU?

Jose D

  • *****
  • 879
    • Zobrazit profil
Dá se z toho zjistit, zda jde o nějaký botnet?

no, teoreticky: mohl bys je nechat naskákat na nějaký honeypot.
Pak podle patternů koukat, a při podobnosti akcí vyhodnotit...

Prakticky.. pokud někdo zkouší login přes SSH tak to není nic proti ničemu...

Ty ASN co zmiňuješ buší do SSH portů standardně, myslím, že kluci a holky z Turrisu na to mají nějakou databázi, ve které se na to dá koukat.


A víte o nějakém dobrém tutoriálu při rozkrývání toho trafficu z těch honepotových databází / projektu sentinelu  nebo. Nebo existuje něco opensource. V tomhle nemám znalosti , kde čerpat nebo , něco jako RBL databáze.... Nějaký úvod do problematiky, a nějaké zajímavá odhalení

Pro útok z EU je něco speciálního, nebo proč to zmiňuješ?