Boty próbują się włamać na VPS-y

anon82750602 | 2017-04-01 13:04:57 UTC | #1

Witam, widzę że od pewnego czasu (zaczęło się chyba 27.03) na kilku vps-ach mam śmietnik w /var/log, szczególnie w plikach auth.log
Sprawcami są boty, które próbują włamywać się na VPS-y.

Najprostszą metodą obrony jest zmiana portu SSH + zainstalowanie fail2ban

Lista adresów IP używanych przez boty:

• 180.177.241.14 (180-177-241-14.dynamic.kbronet.com.tw)
• 61.177.172.57
• 175.106.62.78
• 5.141.203.206
• 39.36.248.177
• 201.203.143.172
• 213.6.2.36
• zespoofowany adres pokazujący localhost?
• 203.162.0.78 (static.vnpt.vn)
• 14.202.110.224 (14-202-110-224.static.tpgi.com.au)
• 5.161.200.187
• zespoofowany adres niepokazujący nic
• 177.132.229.106 (177.132.229.106.dynamic.adsl.gvt.net.br)
• 92.126.46.82
• 182.52.246.92 (node-1cnw.pool-182-52.dynamic.totbb.net)
• 27.4.155.91
• 41.217.178.211
• (cały czas dochodzą nowe)

Adresy pochodzą z różnych egzotycznych miejsc, trudne do wykrycia, prawdopodobnie to serwery proxy i są zmieniane co 5-10 minut…

DBanaszewski | 2017-04-01 13:19:43 UTC | #2

Najczęstsze nazwy na jakie boty się próbują włamać:
- root
- arkserver
- minecraftserver
- terrariaserver
- admin
- arma3
- pi
- ccserver

U mnie te ataki zaczęły się 27 marca od godziny 01:32 i trwają cały czas :confused:

SystemZ | 2017-04-01 13:14:18 UTC | #3

Takie boty grasują od x lat, nie od kilku dni.
Po prostu widocznie na Ciebie trafiło akurat w tym przedziale czasu.
Był już przygotowany poradnik na ten temat.

https://forum.lvlup.pro/t/jak-zabezpieczyc-vpsa-przed-wlamaniami-botow-na-ssh/96

Wypisywanie adresów nie ma większego sensu gdyż jest ich masa plus może to być chwilowe z ich strony.
Równie dobrze mogą być to takie osoby jak Ty, tyle że im chwilowo przejęto VPS i sieją spustoszenie a właściciele nawet o tym nie wiedzą.

Timo | 2017-04-01 16:01:48 UTC | #4

Ej, bo w takich sprawach jestem troche zielony, jak sprawdzić czy do mnie również takie wchodzą?

kubus | 2017-04-01 16:42:20 UTC | #5

cd /var/log i tam jest plik auth

SunNight | 2017-04-01 20:32:02 UTC | #6

Jak mam coś takiego:
To jest wszystko ok? (Nie mam zamieszczonych żadnych IP)

Apr 1 22:23:01 ubuntu CRON[29970]: pamunix(cron:session): session opened for user root by (uid=0)
Apr 1 22:23:01 ubuntu CRON[29971]: pamunix(cron:session): session opened for user root by (uid=0)
Apr 1 22:23:02 ubuntu CRON[29971]: pamunix(cron:session): session closed for user root
Apr 1 22:23:08 ubuntu CRON[29970]: pamunix(cron:session): session closed for user root
Apr 1 22:24:01 ubuntu CRON[30042]: pamunix(cron:session): session opened for user root by (uid=0)
Apr 1 22:24:01 ubuntu CRON[30043]: pamunix(cron:session): session opened for user root by (uid=0)
Apr 1 22:24:02 ubuntu CRON[30043]: pamunix(cron:session): session closed for user root
Apr 1 22:24:08 ubuntu CRON[30042]: pamunix(cron:session): session closed for user root
Apr 1 22:25:01 ubuntu CRON[30082]: pamunix(cron:session): session opened for user root by (uid=0)
Apr 1 22:25:01 ubuntu CRON[30081]: pamunix(cron:session): session opened for user root by (uid=0)
Apr 1 22:25:02 ubuntu CRON[30082]: pamunix(cron:session): session closed for user root
Apr 1 22:25:08 ubuntu CRON[30081]: pamunix(cron:session): session closed for user root
Apr 1 22:26:01 ubuntu CRON[30123]: pamunix(cron:session): session opened for user root by (uid=0)
Apr 1 22:26:01 ubuntu CRON[30122]: pamunix(cron:session): session opened for user root by (uid=0)
Apr 1 22:26:02 ubuntu CRON[30123]: pamunix(cron:session): session closed for user root
Apr 1 22:26:07 ubuntu CRON[30122]: pamunix(cron:session): session closed for user root
Apr 1 22:27:01 ubuntu CRON[30194]: pamunix(cron:session): session opened for user root by (uid=0)
Apr 1 22:27:01 ubuntu CRON[30193]: pamunix(cron:session): session opened for user root by (uid=0)
Apr 1 22:27:02 ubuntu CRON[30194]: pamunix(cron:session): session closed for user root
Apr 1 22:27:07 ubuntu CRON[30193]: pamunix(cron:session): session closed for user root

Nieznajomy11 | 2017-04-01 20:42:45 UTC | #7

To sukcesy stworzenia sesji oraz zamknięcia. Żadnych prób włamań.

anon82750602 | 2017-04-04 14:48:28 UTC | #8

Chyba postawie sandboxa z chroot i otworze port 22 + zablokuje neta i zobaczymy co te boty tak naprawdę robią ;)

Tylko trochę mocno ryzykuje bo tak naprawdę​ nie wiem co ten bot robi i czy nie pier..... ostrego ddosa na kogoś = problemy

luxDev | 2017-04-04 16:29:36 UTC | #9

Najwyżej masz po VPS :P

SystemZ | 2017-04-05 23:21:30 UTC | #10

[quote=”anon82750602, post:8, topic:2357”]
Chyba postawie sandboxa z chroot i otworze port 22 + zablokuje neta i zobaczymy co te boty tak naprawdę robią :wink:

Tylko trochę mocno ryzykuje bo tak naprawdę​ nie wiem co ten bot robi i czy nie pier..... ostrego ddosa na kogoś = problemy
[/quote]

Sugeruję bardziej honeypota tego typu

https://github.com/desaster/kippo

Aylin | 2019-08-14 17:32:09 UTC | #11