ssh scans

[Giannis Vrentzos]

V13 wrote:

> Edo kai merikes ebdomades blepo synexomena scans opos to parakato:
> 
> Aug  4 22:59:26 hydra sshd[12376]: Failed password for illegal user test from 219.117.251.250 port 43513 ssh2
> Aug  4 22:59:29 hydra sshd[12419]: Failed password for illegal user guest from 219.117.251.250 port 43653 ssh2
> Aug  4 22:59:32 hydra sshd[12427]: Failed password for illegal user admin from 219.117.251.250 port 43736 ssh2
> Aug  4 22:59:35 hydra sshd[12429]: Failed password for illegal user admin from 219.117.251.250 port 43811 ssh2
> Aug  4 22:59:38 hydra sshd[12431]: Failed password for illegal user user from 219.117.251.250 port 43907 ssh2
> Aug  4 22:59:41 hydra sshd[12433]: Failed password for root from 219.117.251.250 port 43987 ssh2
> 
> Ayto symbenei sxedon kathe mera apo tyxaies IPs (mia ana mera). Sto google 
> brika mono reports gia to sygkekrimeno thema. Kserei kanenas tipota?
> 
> <<V13>>

Kanw paste apo ena email pou esteile o Kostas Koumantaros 
<kkoum at grnet.gr> sthn lista open-source at grnet.gr.

Καλημέρα,

Εάν συντηρείτε συστήματα με εγκατεστημένες υπηρεσίες shh επιθεωρείστε τα 
logs σας για απόπειρες παράνομης πρόσβασης χρησιμοποίωντας τα usernames 
admin, test, guest & root με αδύνατα η ανύπαρκτα passwords.

Υπάρχουν αναφορές αλλά και περιστατικά που δείχνουν αύξηση της 
συγκεκριμμένης δραστηριότητας τις τελευταίες ημέρες. Αν τα μηχανηματα 
σας είναι patched και ακολουθείται η σωστή πολιτική για την χρήση 
username/passwords δεν υπάρχει κίνδυνος παραβίασης από αυτή την 
δραστηρίοτητα.

Μηχανήματα από τα οποία προέρχονται τετοιου είδους απόπειρες είναι 
σίγουρα παραβιασμένα και καλό θα είναι να ειδοποιηθούν οι διαχειριστές τους.

Αν τα logs σας περιέχουν τετοιου είδους καταγραφές μπορείτε να τις 
προωθησετε στην ΔΟ CERT στο grnet-cert at aegean.gr

Στέλιος Μαΐστρος
GRNET-CERT
http://cert.grnet.gr

Gvre