1. дома
  2. Вопрос и ответ
  3. SSH haywire с попытками входа в систему - Heartbleed?

SSH haywire с попытками входа в систему - Heartbleed?

2012-02-22 8 views
1

Недавно видел в моем (Snow Leopard) Mac Mini-х /var/log/secure.log:SSH haywire с попытками входа в систему - Heartbleed?

Feb 17 06:31:32 mini sshd[37945]: Invalid user charles from 220.248.31.177 
    Feb 17 06:31:34 mini sshd[37947]: Invalid user charlie from 220.248.31.177 
    Feb 17 06:31:37 mini sshd[37949]: Invalid user charlotte from 220.248.31.177 
    Feb 17 06:31:39 mini sshd[37951]: Invalid user chase from 220.248.31.177 
    Feb 17 06:31:42 mini sshd[37953]: Invalid user cher from 220.248.31.177 
    Feb 17 06:31:44 mini sshd[37955]: Invalid user chester from 220.248.31.177 
    Feb 17 06:31:47 mini sshd[37957]: Invalid user chile from 220.248.31.177 
    Feb 17 06:31:49 mini sshd[37959]: Invalid user chip from 220.248.31.177

Есть также целый букет из них:

Feb 17 13:55:23 mini sshd[43204]: Invalid user beth from 23.19.81.173 
    Feb 17 13:55:23 mini sshd[43206]: in pam_sm_authenticate(): Failed to determine Kerberos principal name. 
    Feb 17 13:55:23 mini sshd[43204]: error: PAM: authentication error for illegal user beth from 23.19.81.173 via 192.168.0.2 
    Feb 17 13:55:23 mini sshd[43204]: Failed keyboard-interactive/pam for invalid user beth from 23.19.81.173 port 59508 ssh2 
    Feb 17 13:55:29 mini sshd[43207]: reverse mapping checking getaddrinfo for 23.19.81.173.rdns.ubiquity.io [23.19.81.173] failed - POSSIBLE BREAK-IN ATTEMPT!

Все начинается около 6 Фев и продолжается до 20 февраля, когда я обнаружил его и дезактивировал перенаправление порта 22 порта. Попытки исходят из многих IP-адресов, Китая, Северной Америки, Бог знает, где еще (я не проверял их все), но взлеты всегда сгруппированы в длинные сессии, как вы видите здесь. Мегабайт-Уорт. Кажется, нет никаких признаков успешного входа в систему - у меня есть нестандартное имя пользователя, но вот забавная часть, которая меня беспокоит ...

Я только потрудился проверить журналы, потому что я мог Войдите в систему на определенную вторую учетную запись - пароль был изменен. Разочарованный, я попытался войти в систему как root, но пароль пользователя был изменен также. Однако пароль для моего обычного пользователя, который всегда вошел в систему, не изменился.

Я исправил пароли, которые, как обычно, были для пользователя root. Все остальное кажется нормальным, но изменения пароля меня беспокоят - много. Кто-нибудь слышал об этом? Любой способ узнать, был ли я взломан?

Большая обязанность.

источник

2012-02-22 QED

+0

y u downvote ??? – QED

+0

http://serverfault.com/q/260706/112461 – QED

ответ

3

Если ваши пароли были изменены в вашей системе без вашего ведома - и вы единственный, у кого есть доступ - тогда вы, вероятно, уже подверглись риску. Нук и проложите.

источник

2012-02-22 02:47:28 jmkeyes

Последний вопрос

 Смежные вопросы

  • Нет связанных вопросов^_^