|
Ktoś do mnie puka...
|
| Kontrolny |
Dodano 08-11-2013 20:05
|
Super User
Posty: 560
Dołączył: 22/12/2012 16:16
|
W logach znajduję codziennie takie coś
Nov 8 16:57:44 jcg authpriv.info dropbear[31677]: Child connection from 59.37.66.139:16853
Nov 8 16:57:47 jcg authpriv.warn dropbear[31677]: User 'nobody' has invalid shell, rejected
Nov 8 16:57:48 jcg authpriv.info dropbear[31677]: Exit before auth (user 'nobody', 2 fails): Disconnect received
Nov 8 16:57:49 jcg authpriv.info dropbear[31679]: Child connection from 59.37.66.139:18181
Nov 8 16:57:51 jcg authpriv.warn dropbear[31679]: Login attempt for nonexistent user from 59.37.66.139:18181
Nov 8 16:57:52 jcg authpriv.info dropbear[31679]: Exit before auth: Disconnect received
Nov 8 16:57:52 jcg authpriv.info dropbear[31680]: Child connection from 59.37.66.139:18965
Nov 8 16:57:55 jcg authpriv.warn dropbear[31680]: User 'nobody' has invalid shell, rejected
Nov 8 16:57:56 jcg authpriv.info dropbear[31680]: Exit before auth (user 'nobody', 2 fails): Disconnect received
Nov 8 16:57:56 jcg authpriv.info dropbear[31681]: Child connection from 59.37.66.139:19945
Nov 8 16:57:59 jcg authpriv.warn dropbear[31681]: Bad password attempt for 'root' from 59.37.66.139:19945
Nov 8 16:58:00 jcg authpriv.info dropbear[31681]: Exit before auth (user 'root', 1 fails): Disconnect received
Nov 8 16:58:00 jcg authpriv.info dropbear[31682]: Child connection from 59.37.66.139:20853
Nov 8 16:58:03 jcg authpriv.warn dropbear[31682]: Bad password attempt for 'root' from 59.37.66.139:20853
Nov 8 16:58:03 jcg authpriv.info dropbear[31682]: Exit before auth (user 'root', 1 fails): Disconnect received
Nov 8 16:58:04 jcg authpriv.info dropbear[31684]: Child connection from 59.37.66.139:21698
Nov 8 16:58:07 jcg authpriv.warn dropbear[31684]: Bad password attempt for 'root' from 59.37.66.139:21698
Nov 8 16:58:07 jcg authpriv.info dropbear[31684]: Exit before auth (user 'root', 1 fails): Disconnect received
Nov 8 16:58:17 jcg authpriv.info dropbear[31685]: Child connection from 59.37.66.139:22545
i tak dalej...
parę godzin przerwy i znowu podobna seria z innego IP.
Czy jest się czego bać?
Czego oni chcą?
--
Netgear R6300 v1 OFW :-o
Netgear WNR3500L v2 × 3
Tomato Firmware 1.28.0000 MIPSR2-121 K26 USB AIO
ReadyNAS Duo v1
|
| |
|
|
| maciej2 |
Dodano 08-11-2013 20:20
|
Super User
Posty: 418
Dołączył: 19/12/2010 16:35
|
Chińczycy pukają 
Są dwie opcje:
1. Skanują sieć jak leci i próbują wejść do "urządzenia".
2. Masz jakiś program na jakimś urządzeniu i ono jest "dziurawe" i wysyła twoje IP do chińczyków i próbują wejść na to urządzenie.
Rozwiązanie:
Zablokować w firewall nieudane połączenie z danego ip,
ASUS RT-AC66U v B1 - Asuswrt-Merlin
ASUS WL-500gP v2 - FreshTomato
|
| |
|
|
| ox1de |
Dodano 08-11-2013 20:29
|
User
Posty: 109
Dołączył: 07/05/2012 15:18
|
Daj im to hasło bo jeszcze wojnę z kitajcami rozpętasz 
Router
- Asus RT-AC1900U
NAS
- Raspberry pi 4 | Raspbian Buster Lite, Docker
- Switch TP-Link TL-SG108
- 2x IcyBox IB-RD2253-U31 2x2,5'' RAID USB 3.1
- 4x Seagate ST2000LM0007 2,5" 2TB
HTPC
- Nvidia shield 2018
|
| |
|
|
| belliash |
Dodano 08-11-2013 22:44
|
Moderator
Posty: 730
Dołączył: 17/08/2010 08:53
|
To normalne. Na serwerach korzysta sie z bardziej rozbudowanych regol firewalla, oraz stosuje sie dodatkowo np. denyhosts. Na routerze sobie za wiele nie podzialasz w tej kwestii, wiec najprosciej jest nie otwierac portu 22 na swiat, albo postawic SSH na bardziej egzotycznym porcie
Linksys WRT1900AC: OpenWrt 19.07.2
Jetway JC390F841AA34B: OpenWrt 19.07.2
|
| |
|
|
| maciej2 |
Dodano 09-11-2013 20:36
|
Super User
Posty: 418
Dołączył: 19/12/2010 16:35
|
Port dużo nie da, bo mogą każdy port przeskanować, jak wykryją, że tam usługa działa to będą próbować się wbić, najlepiej zablokować ip danego kraju np: chińczyków.
ASUS RT-AC66U v B1 - Asuswrt-Merlin
ASUS WL-500gP v2 - FreshTomato
|
| |
|
|
| Kontrolny |
Dodano 13-11-2013 16:22
|
Super User
Posty: 560
Dołączył: 22/12/2012 16:16
|
Mam wyłączony remote access przez SSH, a cały czas w logach widzę nowe wpisy typu:
Nov 13 13:31:03 jcg authpriv.info dropbear[10534]: Exit before auth: Disconnect received
Nov 13 13:31:04 jcg authpriv.info dropbear[10537]: Child connection from 118.126.4.5:40901
Nov 13 13:31:05 jcg authpriv.warn dropbear[10535]: Login attempt for nonexistent user from 118.126.4.5:40376
Nov 13 13:31:06 jcg authpriv.info dropbear[10535]: Exit before auth: Disconnect received
Nov 13 13:31:06 jcg authpriv.info dropbear[10538]: Child connection from 118.126.4.5:41680
Nov 13 13:31:07 jcg authpriv.warn dropbear[10537]: Login attempt for nonexistent user from 118.126.4.5:40901
Nov 13 13:31:08 jcg authpriv.info dropbear[10537]: Exit before auth: Disconnect received
Nov 13 13:31:09 jcg authpriv.info dropbear[10539]: Child connection from 118.126.4.5:42596
Nov 13 13:31:09 jcg authpriv.warn dropbear[10538]: Login attempt for nonexistent user from 118.126.4.5:41680
Nov 13 13:31:11 jcg authpriv.info dropbear[10538]: Exit before auth: Disconnect received
Nov 13 13:31:11 jcg authpriv.info dropbear[10540]: Child connection from 118.126.4.5:43423
Nov 13 13:31:12 jcg authpriv.warn dropbear[10539]: Login attempt for nonexistent user from 118.126.4.5:42596
Nov 13 13:31:13 jcg authpriv.info dropbear[10539]: Exit before auth: Disconnect received
Nov 13 13:31:14 jcg authpriv.info dropbear[10541]: Child connection from 118.126.4.5:44390
Nov 13 13:31:14 jcg authpriv.warn dropbear[10540]: Login attempt for nonexistent user from 118.126.4.5:43423
Nov 13 13:31:16 jcg authpriv.info dropbear[10540]: Exit before auth: Disconnect received
Nov 13 13:31:16 jcg authpriv.info dropbear[10542]: Child connection from 118.126.4.5:45278
Nov 13 13:31:17 jcg authpriv.warn dropbear[10541]: Bad password attempt for 'root' from 118.126.4.5:44390
Nov 13 13:31:18 jcg authpriv.info dropbear[10541]: Exit before auth (user 'root', 1 fails): Disconnect received
Nov 13 13:31:19 jcg authpriv.info dropbear[10544]: Child connection from 118.126.4.5:46335
Nov 13 13:31:20 jcg authpriv.warn dropbear[10542]: Bad password attempt for 'root' from 118.126.4.5:45278
Nov 13 13:31:21 jcg authpriv.info dropbear[10542]: Exit before auth (user 'root', 1 fails): Disconnect received
Nov 13 13:31:21 jcg authpriv.info dropbear[10545]: Child connection from 118.126.4.5:47217
Nov 13 13:31:25 jcg authpriv.warn dropbear[10545]: Login attempt for nonexistent user from 118.126.4.5:47217
Nov 13 13:31:26 jcg authpriv.info dropbear[10545]: Exit before auth: Disconnect received
Nov 13 13:31:27 jcg authpriv.info dropbear[10546]: Child connection from 118.126.4.5:49539
Nov 13 13:31:29 jcg authpriv.info dropbear[10544]: Exit before auth: Exited normally
Nov 13 13:31:37 jcg authpriv.info dropbear[10546]: Exit before auth: Exited normally
Jest tego więcej.
Dlaczego przy wyłączonym remote access w ogóle ma możliwość podjęcia próby zalogowania?
--
Netgear R6300 v1 OFW :-o
Netgear WNR3500L v2 × 3
Tomato Firmware 1.28.0000 MIPSR2-121 K26 USB AIO
ReadyNAS Duo v1
|
| |
|
|
| maciej2 |
Dodano 13-11-2013 21:01
|
Super User
Posty: 418
Dołączył: 19/12/2010 16:35
|
Może nie zresetowałeś usługi i ona cały czas działa. Sprawdź w procesach czy usługa działa, jeśli tak wyłącz ją.
ASUS RT-AC66U v B1 - Asuswrt-Merlin
ASUS WL-500gP v2 - FreshTomato
|
| |
|
|
| Kontrolny |
Dodano 13-11-2013 22:13
|
Super User
Posty: 560
Dołączył: 22/12/2012 16:16
|
Wchodzę do
Administration -> Admin Access -> SSH Daemon -> Remote Access
odptaszkowuję,
daję Save.
Biorę drugi komputer, który jest podłączony do internetu przez iPlusa i mogę się normalnie zalogować na swój router przez SSH.
Robię reboot routera i znów sprawdzam przez iPlusa: logowanie z zewnątrz przebiega bez problemu.
Połączony z 13 listopad 2013 22:16:30:
A jak się nazywa ten proces? Na liście aktywnych procesów nie widzę nic, co by miało w nazwie ssh.
Edytowany przez Kontrolny dnia 13-11-2013 22:16
--
Netgear R6300 v1 OFW :-o
Netgear WNR3500L v2 × 3
Tomato Firmware 1.28.0000 MIPSR2-121 K26 USB AIO
ReadyNAS Duo v1
|
| |
|
|
| maciej2 |
Dodano 13-11-2013 22:30
|
Super User
Posty: 418
Dołączył: 19/12/2010 16:35
|
Komenda:
ps | grep dropbear
U siebie włączyłem ssh - działa z zewnątrz.
Wyłączyłem ssh (wisza 2 procesy dropbear ) - i nie mam dostępu do ssh z zewnatrz.
Sprawdzane na wersji tomato - patrz poniżej.
ASUS RT-AC66U v B1 - Asuswrt-Merlin
ASUS WL-500gP v2 - FreshTomato
|
| |
|
|
| Kontrolny |
Dodano 13-11-2013 22:37
|
Super User
Posty: 560
Dołączył: 22/12/2012 16:16
|
Ale chciałbym mieć dostęp przez SSH z wewnątrz.
Natomiast chciałbym, żeby z internetu nie było możliwości zalogowania się przez SSH.
Połączony z 13 listopad 2013 23:19:17:
Zrobiłem limit - jedna próba połączenia przez SSH na 60 sekund.
Nie działa - mogę próbować co parę sekund ile wlezie.
Oj, dziurawo z bezpieczeństwem w Tomato.
Edytowany przez Kontrolny dnia 13-11-2013 23:19
--
Netgear R6300 v1 OFW :-o
Netgear WNR3500L v2 × 3
Tomato Firmware 1.28.0000 MIPSR2-121 K26 USB AIO
ReadyNAS Duo v1
|
| |
|
|
| maciej2 |
Dodano 14-11-2013 08:28
|
Super User
Posty: 418
Dołączył: 19/12/2010 16:35
|
SSH zostawiasz włączone, natomiast wyłączasz tylko dostęp zdalny w ustawieniach. I to powinno działać. Sprawdź ten dostęp zdalny i zobacz co procesy powiedzą.
ASUS RT-AC66U v B1 - Asuswrt-Merlin
ASUS WL-500gP v2 - FreshTomato
|
| |
|
|
| jack78 |
Dodano 14-11-2013 09:01
|
OL Maniac
Posty: 1365
Dołączył: 22/04/2007 22:28
|
Zmień sobie port 22 na jakiś bardzo dziwne dla tej usługi, np 22222. Jakoś nie wierzę żeby ktoś skanował nie dość że po IP, to jeszcze wszystkie porty.
Ja miałem ten problem w pracy ze 3 lata temu, po zmianie portu na jakieś "dziwadło" skończyło się skanowanie.
Mikrotik hAP ac2
UniFi AP AC v2-OFW, UniFi AP PRO- OpenWRT,
Linksys E1000v2 - Tomato-RT-N5x-MIPSR2-116-Hyzoom.4M-Mini
Tenda AC10 - AC1200 OFW
NAS - HP Microserver Gen8 i3-3220T, 8GB RAM 5x 3TB WD RED | Xpenology
|
| |
|
|
| Kontrolny |
Dodano 14-11-2013 09:35
|
Super User
Posty: 560
Dołączył: 22/12/2012 16:16
|
No właśnie odptaszkowałem Remote Access dla SSH i dałem Save i nadal mogłem się połączyć z zewnątrz.
Dopiero, kiedy odptaszkuję Allow password login, wtedy nie łączy. Ale wtedy nie łączy także z wewnątrz. A z wewnątrz akurat bym chciał mieć dostęp.
Zmiana numeru portu - ok, ale chyba nie tak to miało działać.
--
Netgear R6300 v1 OFW :-o
Netgear WNR3500L v2 × 3
Tomato Firmware 1.28.0000 MIPSR2-121 K26 USB AIO
ReadyNAS Duo v1
|
| |
|
|
| maciej2 |
Dodano 14-11-2013 09:52
|
Super User
Posty: 418
Dołączył: 19/12/2010 16:35
|
Sprawdź inną wersje tomato, ale chyba nic się nie zmieniło w ssh ostatnio.
Tak jak mówię przyglądnij się procesom dropbear i jeśli będą działać można je zabijać - skrypt.
ASUS RT-AC66U v B1 - Asuswrt-Merlin
ASUS WL-500gP v2 - FreshTomato
|
| |
|
|
| kamilj |
Dodano 14-11-2013 12:45
|
Moderator
Posty: 982
Dołączył: 28/12/2011 12:24
|
Nie lepiej po prostu zablokować ten adres IP i po kłopocie?
------------------------------------------------------------------------------
[b] RegulaminOpenlinksys.info v0.1
[url=http://openlinksys.info/forum/viewthread.p |
| |
|
|
| Kontrolny |
Dodano 14-11-2013 14:29
|
Super User
Posty: 560
Dołączył: 22/12/2012 16:16
|
Gdyby to był jeden konkretny adres IP. Ale adres IP, z którego pochodzą próby "zalogowania się" zmienia się kilka razy dziennie.
Tak więc dopisuję do książki wniosków wniosek o naprawienie buga dotyczącego tego, że logowanie z zewnątrz działa nawet wtedy, kiedy jest wyłączone w GUI.
--
Netgear R6300 v1 OFW :-o
Netgear WNR3500L v2 × 3
Tomato Firmware 1.28.0000 MIPSR2-121 K26 USB AIO
ReadyNAS Duo v1
|
| |
|
|
| majkel152 |
Dodano 14-11-2013 16:35
|
OL Maniac
Posty: 1716
Dołączył: 09/06/2010 14:36
|
wgraj najnowsze tomato, wyczyść nvram, skonfiguruj na nowo , miałem podobnie, 114 wporzo
nie znam się na tym ^^
kupię coś fajnego
sieć domowa:
router z pfsense https://i.imgur.com/IuB6Zwy.png, jakieś dziwne urządzenia , ups, światłowody, apeki i działa miło |
| |
|
|
| grz3si3k |
Dodano 14-11-2013 18:34
|
Super User
Posty: 630
Dołączył: 28/06/2008 17:19
|
@kontrolny ustaw sobie logowanie kluczami i niech tam puka aż go łapa zaboli
Ja loguje kluczem z hasłem + dziwny port jakoś wysoko i już nie puka |
| |
|
|
| Kontrolny |
Dodano 14-11-2013 20:55
|
Super User
Posty: 560
Dołączył: 22/12/2012 16:16
|
Przeflaszowałem router 114-AIO NEWDRIVER z opcją czyszczenia NVRAM. Naklikałem się konfigurując wszystko od nowa i wygląda na to, że w tej chwili z zewnątrz nie idzie połączyć się przez SSH.
Tzn. dostęp przez SSH włączony, ale remote wyłączony.
Połączony z 14 listopad 2013 21:08:22:
Natomiast nadal jest taki dziw:
Wchodzę do Access Restriction i włączam blokadę active X every day all day any protocol i wyskakuje mi dziwny komunikat:
iptables-restore v1.3.8: Couldn't load match `web':File not found
Error occurred at line: 43
Try `iptables-restore -h' or 'iptables-restore --help' for more information.
Połączony z 14 listopad 2013 21:10:12:
Od tego momentu przestaje działać monitorowanie Web usage, IP Traffic, View Graphs...
Połączony z 14 listopad 2013 21:20:10:
Wyłączam blokadę active X i wymienione powyżej funkcje zaczynają znów działać, dziwny komunikat znika. Ale nie mam blokady active X.
Edytowany przez Kontrolny dnia 14-11-2013 21:20
--
Netgear R6300 v1 OFW :-o
Netgear WNR3500L v2 × 3
Tomato Firmware 1.28.0000 MIPSR2-121 K26 USB AIO
ReadyNAS Duo v1
|
| |
|
|
| balagaan |
Dodano 11-12-2013 10:08
|
User
Posty: 169
Dołączył: 06/12/2012 10:17
|
Hej,
Nie tworząc nowego wątku chciałbym zapytać o taki log:
Dec 11 02:55:26 RT-08606EE97088 daemon.info pptpd[7792]: CTRL: Client 14.17.35.181 control connection started
Dec 11 02:55:26 RT-08606EE97088 daemon.err pptpd[7792]: CTRL: EOF or bad error reading ctrl packet length.
Dec 11 02:55:26 RT-08606EE97088 daemon.err pptpd[7792]: CTRL: couldn't read packet header (exit)
Dec 11 02:55:26 RT-08606EE97088 daemon.err pptpd[7792]: CTRL: CTRL read failed
Dec 11 02:55:26 RT-08606EE97088 daemon.debug pptpd[7792]: CTRL: Reaping child PPP[0]
Dec 11 02:55:26 RT-08606EE97088 daemon.info pptpd[7792]: CTRL: Client 14.17.35.181 control connection finished
mam to cyklicznie 2 razy dziennie.
IP Chińskie, nie wiem czy mam się czegoś obawiać ??
-----------------------------------------------------------------------------------------
|
| |
|
' target='_blank'>Link
