Fórum Ubuntu CZ/SK
Ubuntu pro osobní počítače => Internet a sítě => Téma založeno: MyKE 12 Srpna 2009, 20:38:46
-
Zdravím. Chci se zeptat zda také na váš server dotazují Rusové, Íráčané atd... Chtějí se dostat na SSH a MySQL.
Dneska jsem zjistil, že někdo spouští z mého serveru python a dotazuje na jiný server. A chtěl jsem se vás zeptat, zda je toto závažný problém:
(http://myke.sabrnak.cz/data/images/vzdalene_spusteni.jpg)
První 3 jsou v pořádku, ale nevím co je to 4 spojení...
192.168.1.7 je gateway (router)
192.168.1.212 je muj PC
(Možné by bylo, že by se dostal do Intranetu a do administrace routeru).
-
Njn boti běží z různých míst, třeba ze zavirovaných pc s Windows po celém světe. A nebo z ip z takových exotičtějších zemí. :) Mam rád síťovej pořádek, ale neni na škodu dát ssh na jinej port a omezit počet přípojení za hodinu atp. :) A samozřejmně klíč nebo složité heslo.
-
Jinak ze screenshotu nejsou patrne utoky na ssh, ale na port 80, což je obvyklý port web serveru? Naslouchá vám něco na portu 80? Ze screenshotu neni patrná Vaše ip, ale z vašeho textu usuzuju, že jde o odchozí spojení, né o příchozí? Jako na portu 80, proč to považujete za nežádoucí? Nechtěné nežádoucí odchozí spojení by ukazovalo asi na nějakej škodlivej kod v systemu, prichozi to by byla jina. Ale odchozi spoji spojeni na portu 80? Kdejaká utilita si neco stahuje z 80. Whois předpokládám ihned u ruky.
Ale ty prichozi spojeni na ssh a mysql, s tim bych uz neco delal.
A k te web rozhranni routeru. Pokud jde o externi ip routeru (a nepouzivate nat, jinak to tezko poznat), tak by hrozilo, ze jde o pokus o napadeni web administrace, ale tu nebejvá zvykem provozovat na portu 80 vetsinou, ne? A pokud to neni nutne, z wan (zde Internetu) neni ani povolena, je to vec nastaveni, no. Ale prostě spousta botů takovýhle útoky zkouší, jen tak střílí na známá místa a chyby. Logy jsou někdy zajímavý, ale naštěstí zatim snad vše ok.
-
Pokus o napadeni web admin routeru to nebude nejen kvuli portu, ale hlavne, pac vlastne jde o odchozi spojeni... a cerva asi bych vyloucil. Co to je za router? Ze by si třeba kontroloval nejakou novou verzi firmware?
-
Pokus o napadeni web admin routeru to nebude nejen kvuli portu, ale hlavne, pac vlastne jde o odchozi spojeni... a cerva asi bych vyloucil. Co to je za router? Ze by si třeba kontroloval nejakou novou verzi firmware?
Router nekontroluje firmware a vše mám nastaveno, aby směřovalo na server. Nemělo by to být nic s routerem. S těma windows v síti nevím, ale když se občas kouknu na firewall, vidím tam alespoň jednou za den tu samou IP: 91.189.90.132 a ten python... Nevím co to může být. Zatím vše jede a nezaznamenal jsem problémy. Jen jsem se chtěl zeptat, zda tento "problém" má více lidí.
EDIT: Router je ASUS RT-N15
-
91.189.90.132 -> je IP adresa Canonicalu
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=91.189.90.132&submit.x=17&submit.y=5&submit=Search (http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=91.189.90.132&submit.x=17&submit.y=5&submit=Search)
zrejme se snazi o updaty systemu
-
91.189.90.132 -> je IP adresa Canonicalu
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=91.189.90.132&submit.x=17&submit.y=5&submit=Search (http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=91.189.90.132&submit.x=17&submit.y=5&submit=Search)
zrejme se snazi o updaty systemu
O update systemu by se mohlojednat. Pořád mi nabízí update, ale já je nedávám. Snad to je ono. Díky.