kubus | 2017-04-12 09:21:24 UTC | #1
Cześć, jest sprawa
przeglądam sobie raz na jakiś czas logi z /var/log/auth.log
i jest tam właśnie udana próba logowania, hasło moje jest dosyć długie ok. 30 znaków różnych, więc no. Tutaj przykład.
Mar 27 15:40:16 vps391712 sshd[781]: Accepted password for root from 213.186.33.62 port 53954 ssh2
Mar 27 15:40:16 vps391712 sshd[781]: pam_unix(sshd:session): session opened for user root by (uid=0)
Mar 27 15:40:16 vps391712 sshd[781]: pam_unix(sshd:session): session closed for user root
DBanaszewski | 2017-04-12 10:18:50 UTC | #2
Nie jest to włamanie. To są informacje na temat rozpoczętej sesji i zakończenia sesji. Takie próby włamania, w edytorze vim są podkreślone na czerwono :wink:
kubus | 2017-04-12 10:23:19 UTC | #3
Ale w sensie, że ktoś się zalogowal na roota. To nie jest moje IP
Nieznajomy11 | 2017-04-12 11:08:36 UTC | #4
https://www.abuseipdb.com/check/213.186.33.62
Wygląda po prostu na zwykły adres czegoś z ovh
DBanaszewski | 2017-04-12 11:27:34 UTC | #5
W innych serwisach pisze, że ten adres IP robi często (zacytuję):
bruteforcessh-ddos
:/
LinGruby | 2017-04-12 11:27:54 UTC | #6
IP Address: 213.186.33.62
Hostname: a2.ovh.net
a dokładnie to jest a2.ovh.net - 213.186.33.62 (Monitoring firewalls ASA)
to jakiś serwer monitorujący a jest ich więcej mnie znane to te
ping.ovh.net - 213.186.33.13
cache.ovh.net - 213.186.50.100
proxy.ovh.net - 213.186.50.98
proxy.p19.ovh.net - 213.186.45.4
proxy.rbx.ovh.net - 213.251.184.9
proxy.rbx2.ovh.net - 91.121.150.4
proxy.rbx3.ovh.net - 91.121.180.2
proxy.rbx4.ovh.net - 46.105.96.3
tyle co mnie wiadomo acz na kvm po za swoimi logowaniami nie zaobserwowałem nic takiego ;-)
kubus | 2017-04-12 11:49:51 UTC | #7
Ja właśnie zauwazyłem, dlatego się nie zaniepokoilem
DBanaszewski | 2017-04-12 12:19:10 UTC | #8
Dla bezpieczeństwa zmień port SSH i hasło do roota (opcjonalnie również do innych kont) ;)
DoreK | 2017-04-12 15:24:30 UTC | #9
Z tego co widzę jest to ovh.net a nie ovh.com :]
Wszedłem na ovh.net i tam jest jakiś speedtest, żadnych danych firmy OVH.
Podejrzane ;)
Nieznajomy11 | 2017-04-12 15:36:51 UTC | #10
Podejrzane, szczególnie dlatego, że na stronie ovh.com jak i ovh.pl jest informacja aby te ip dodać do whitelisty przy firewallu ;P
http://pomoc.ovh.pl/Firewall
DoreK | 2017-04-12 16:09:48 UTC | #11
Aa to nie widziałem ;]
Aylin | 2019-08-14 17:21:49 UTC | #12