среда, 7 октября 2009 г.

Один день из жизни моего "качка"

Вот уж не думал что тема попытки взлома может быть столь захватывающей.
Решил я проанализировать лог журнал моего минисервера - "Качка". Для этого взял один сегодняшний день. Выгрузил лог журнал в текстовой файл и обработал его OpenOffice calc. И увидел, что представляю определенный интерес для народа во всемирной паутине. В доступ у меня открыты службы ssh и ftp. Публичный каталог FTP пуст и он мало кого интересует (сам то я использую защищенный ftp через ssh), но зато народ ищет способы зайти по ssh.

Для начала - статистика попыток зайти на компьютер с учетной записью root:
IP 125.7.235.35 попыток 1
IP 200.93.146.118 попыток 122
IP 217.195.176.231 попыток 59
IP 220.241.87.228 попыток 13

Дальше - анализ числа попыток взлома, который фаерволл идентифицирует как reverse mapping checking getaddrinfo for corporat200-093146118.sta.etb.net.co [200.93.146.118] failed - POSSIBLE BREAK-IN ATTEMPT!
(Днем позже:
Посмотрел в интернете что такое reverse mapping checking - оказалось что это вид проверки стучащегося хоста, имя с которым он заходит соответствует ли IP адресу, так что это сообщение системы безопасности а не попытка взлома как таковая)

IP 200.93.146.118 Кол-во попыток 295
IP 217.195.176.231 Кол-во попыток 107

И наконец анализ использованных для входа имен пользователей:

IP 200.93.146.118 перебирал следующие имена (166):
admin, advanced, alex, american, andrea, andreas, annmarie, antonio, apache, archive, ariel, army, arnold, backup, bebe, beer, beth, bob, capital, cathy, christian, daniel, darwin, david, debian, default, dennis, don, download, eagle, ed, edith, eli, elite, elke, eric, erik, erika, erwin, express, fran, france, fritz, gaby, ghost, gigi, gloria, greg, guest, guest1, guest10, guest2, guest3, guest4, guest5, guest6, guest7, guest8, guest9, harry, house, httpd, ip, jessica, jesus, joel, jojo, judith, julien, kiss, library, linux, linux10, linux2, linux3, linux4, linux5, linux6, linux7, linux8, linux9, magician, mailman, maker, mama, mantest, marck, margie, mario, mark, matt, melanie, michael, michelle, monitor, movie, movies, mp3, music, neo, nick, notes, oracle, orders, papa, paul, pete, postgres, postmaster, rabbit, raider, ralph, redhat, rob, roberto, rocky, sales, samba, scanner, sean, security, server, service, smmsp, smoke, software, squid, status, stephane, super, suzanne, tanya, temp, test, test1, test10, test2, test3, test4, test5, test6, test7, test8, test9, tina, update, upload, user1, user10, user2, user3, user4, user5, user6, user7, user8, user9, victor, virus, webmaster, webuser, windows, work

IP 217.195.176.231 перебирал следующие имена (43):
account, adam, alan, apache, backup, cip51, cip52, cosmin, cyrus, data, frank, george, henry,horde, iceuser, irc, jane, john, master, matt, noc, oracle, pamela, patrick, rolo, server, sybase, test, user, web, webmaster, www, www-data, wwwrun

Вот такие нешуточные страсти кипят вокруг безобидного компьютера.

1 комментарий:

  1. Прикольно. А в виндах вот не логи, а одно говно... нихера не понятно. Индусы, бляди, даже логов нормальных не сделали. ЛИНУКС РУЛИТ!!!

    ОтветитьУдалить