[linux] Re: Gebruiker waarmee men via ssh probeert in te loggen

Hugo van der Kooij hvdkooij op vanderkooij.org
Di mei 3 10:22:10 CEST 2005


On Tue, 3 May 2005, Cecil Westerhof wrote:

> Komt trouwens nog bij dat als het wel door sshd wordt afgehandeld, maar
> het is een niet bestaande gebruiker, dat je krijgt 'user unknown.

Normaal ziet het uit als:

Apr 24 05:42:57 gandalf sshd[27079]: Did not receive identification string
from ::ffff:137.204.83.107
Apr 24 05:58:22 gandalf sshd[28320]: Failed password for root from
::ffff:137.204.83.107 port 36080 ssh2
Apr 24 05:58:23 gandalf sshd[28322]: Illegal user admin from
::ffff:137.204.83.107
Apr 24 05:58:25 gandalf sshd[28322]: Failed password for illegal user
admin from ::ffff:137.204.83.107 port 36493 ssh2
Apr 24 05:58:28 gandalf sshd[28324]: Failed password for illegal user test
from ::ffff:137.204.83.107 port 36810 ssh2
Apr 24 05:58:30 gandalf sshd[28326]: Illegal user guest from
::ffff:137.204.83.107
Apr 24 05:58:32 gandalf sshd[28326]: Failed password for illegal user
guest from ::ffff:137.204.83.107 port 37194 ssh2
Apr 24 05:58:33 gandalf sshd[28329]: Illegal user webmaster from
::ffff:137.204.83.107
Apr 24 05:58:35 gandalf sshd[28329]: Failed password for illegal user
webmaster from ::ffff:137.204.83.107 port 37501 ssh2
Apr 24 05:58:38 gandalf sshd[28331]: Failed password for illegal user
mysql from ::ffff:137.204.83.107 port 37851 ssh2
.........

En dat kan oplopen tot een paar 100 regels voor 1 ssh client.

Ik heb een mooi abuse script wat alavast alles aan tekst klaar zet zodat
ik een abuse rapport kan sturen op basis van het IP adres. Vooral hosting
centra reageren meestal binnnen 1 a 2 uur met de opmerking dat de server
van een klant is maar wel uit de lucht is gehaald voor verder onderzoek.

Hugo.

-- 
	I hate duplicates. Just reply to the relevant mailinglist.
	hvdkooij op vanderkooij.org		http://hvdkooij.xs4all.nl/
		Don't meddle in the affairs of magicians,
		for they are subtle and quick to anger.



More information about the Linux mailing list