Похоже меня ломают по единственному открытому наружу порту - smtp. Что делать???
Читаю вслух с выражением маны - $50/ч + стоимость звонка. Настраиваю сервисы за Вас - $100/ч + стоимость выезда и проживания. И восемь строк матом...(бесплатно)
Отбой тревоги. Это он в теле письма нашел, которое мне с LinuxGazette пришло...
но лучше перестраховаться и запаниковать, а потом, разобравшись, вздохнуть с облегчением.
Всем спасибо.
Читаю вслух с выражением маны - $50/ч + стоимость звонка. Настраиваю сервисы за Вас - $100/ч + стоимость выезда и проживания. И восемь строк матом...(бесплатно)
Вполне возможно, что это ложное срабатывание - IPшник это gigacat.subscribe.ru
может просто рассылка какая пришла со строкой uid=0(root)
на всякий случай глянь логи /var/log/messages и логи MTA на предмет чего-нить нездорового и
sudo /usr/sbin/tcpdump -nvXp host 81.9.34.172 на предмет траффика, похожего на вывод шелловых команд
Насколько я помню, snort вроде умеет запускать шелловые команды в таких случаях. Или не снорт?
Но идея проста до безобразия. Лет 5 назад мы с другом писали что-то подобное. При обнаружении атаки, определялся айпи атакующего и система выполняла простую команду:
#route add -host <attacker's IP> reject
Но идея проста до безобразия. Лет 5 назад мы с другом писали что-то подобное. При обнаружении атаки, определялся айпи атакующего и система выполняла простую команду:
#route add -host <attacker's IP> reject
На этом все левые соединения тухли.
Не мог бы ты привести листинг или хотя бы вобщем описать этапы действия программы?
*net-analyzer/snortsam
Latest version available: 2.30
Latest version installed: [ Not Installed ]
Size of downloaded files: 985 kB
Homepage: http://www.snortsam.net/
Description: Snort plugin that allows automated blocking of IP addresses on several firewalls
License: as-is
