* [Sysadmins] ssh и reverse mapping checking getaddrinfo
@ 2007-11-14 7:56 Nikolay
2007-11-14 8:20 ` Anton Farygin
` (2 more replies)
0 siblings, 3 replies; 6+ messages in thread
From: Nikolay @ 2007-11-14 7:56 UTC (permalink / raw)
To: sysadmins
Доброго дня .
С недавних пор в логах стала наблюдаться весёлая строка - типа
Nov 14 09:53:26 hq sshd[8276]: reverse mapping checking getaddrinfo for
hd-t3432cl.smithysoft.com [209.172.57.171] failed - POSSIBLE BREAK-IN
ATTEMPT!
Не подскажут ли более опытные товарищи - что сиё значит ?
Сейчас просто блокирую ip адреса - может ещё чтото предпринять стоит ?
--
С уважением, Николай
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] ssh и reverse mapping checking getaddrinfo
2007-11-14 7:56 [Sysadmins] ssh и reverse mapping checking getaddrinfo Nikolay
@ 2007-11-14 8:20 ` Anton Farygin
2007-11-14 8:49 ` Nikolay
2007-11-14 8:25 ` Denis Ognewsky
2007-11-14 9:18 ` Sergey
2 siblings, 1 reply; 6+ messages in thread
From: Anton Farygin @ 2007-11-14 8:20 UTC (permalink / raw)
To: sysadmins
Nikolay пишет:
> Доброго дня .
> С недавних пор в логах стала наблюдаться весёлая строка - типа
> Nov 14 09:53:26 hq sshd[8276]: reverse mapping checking getaddrinfo for
> hd-t3432cl.smithysoft.com [209.172.57.171] failed - POSSIBLE BREAK-IN
> ATTEMPT!
> Не подскажут ли более опытные товарищи - что сиё значит ?
> Сейчас просто блокирую ip адреса - может ещё чтото предпринять стоит ?
>
сменить порт у ssh
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] ssh и reverse mapping checking getaddrinfo
2007-11-14 7:56 [Sysadmins] ssh и reverse mapping checking getaddrinfo Nikolay
2007-11-14 8:20 ` Anton Farygin
@ 2007-11-14 8:25 ` Denis Ognewsky
2007-11-14 17:00 ` Nikolay
2007-11-14 9:18 ` Sergey
2 siblings, 1 reply; 6+ messages in thread
From: Denis Ognewsky @ 2007-11-14 8:25 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Wednesday 14 November 2007 12:56:41 Nikolay написал(а):
> Доброго дня .
> С недавних пор в логах стала наблюдаться весёлая строка - типа
> Nov 14 09:53:26 hq sshd[8276]: reverse mapping checking getaddrinfo for
> hd-t3432cl.smithysoft.com [209.172.57.171] failed - POSSIBLE BREAK-IN
> ATTEMPT!
> Не подскажут ли более опытные товарищи - что сиё значит ?
> Сейчас просто блокирую ip адреса - может ещё чтото предпринять стоит ?
закрыть ssh наружу.
если ssh нужен то в файрволе ограничить количество попыток
iptables -A INPUT -p TCP --syn --dport 22 -m recent --name radiator --set \
iptables -A INPUT -p TCP --syn --dport 22 -m recent --nameradiator \
--update --seconds 60 --hitcount 4 -j DROP
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] ssh и reverse mapping checking getaddrinfo
2007-11-14 8:20 ` Anton Farygin
@ 2007-11-14 8:49 ` Nikolay
0 siblings, 0 replies; 6+ messages in thread
From: Nikolay @ 2007-11-14 8:49 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от 14 ноября 2007 Anton Farygin написал(a):
> Nikolay пишет:
> > Доброго дня .
> > С недавних пор в логах стала наблюдаться весёлая строка - типа
> > Nov 14 09:53:26 hq sshd[8276]: reverse mapping checking getaddrinfo for
> > hd-t3432cl.smithysoft.com [209.172.57.171] failed - POSSIBLE BREAK-IN
> > ATTEMPT!
> > Не подскажут ли более опытные товарищи - что сиё значит ?
> > Сейчас просто блокирую ip адреса - может ещё чтото предпринять стоит ?
>
> сменить порт у ssh
Как выход - но интересует - что собственно за прикол ? раньше просто
пользователь root - а щас вот такая гадость ...
--
С уважением, Николай
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] ssh и reverse mapping checking getaddrinfo
2007-11-14 7:56 [Sysadmins] ssh и reverse mapping checking getaddrinfo Nikolay
2007-11-14 8:20 ` Anton Farygin
2007-11-14 8:25 ` Denis Ognewsky
@ 2007-11-14 9:18 ` Sergey
2 siblings, 0 replies; 6+ messages in thread
From: Sergey @ 2007-11-14 9:18 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Wednesday 14 November 2007, Nikolay wrote:
> Не подскажут ли более опытные товарищи - что сиё значит ?
Результат несоответствия:
$ host 209.172.57.171
171.57.172.209.in-addr.arpa domain name pointer hd-t3432cl.smithysoft.com.
$ host hd-t3432cl.smithysoft.com
Host hd-t3432cl.smithysoft.com not found: 3(NXDOMAIN)
> Сейчас просто блокирую ip адреса - может ещё чтото предпринять стоит ?
Ограничить количество попыток содинения в единицу времени, например...
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] ssh и reverse mapping checking getaddrinfo
2007-11-14 8:25 ` Denis Ognewsky
@ 2007-11-14 17:00 ` Nikolay
0 siblings, 0 replies; 6+ messages in thread
From: Nikolay @ 2007-11-14 17:00 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от 14 ноября 2007 Denis Ognewsky написал(a):
> закрыть ssh наружу.
> если ssh нужен то в файрволе ограничить количество попыток
>
> iptables -A INPUT -p TCP --syn --dport 22 -m recent --name radiator --set \
> iptables -A INPUT -p TCP --syn --dport 22 -m recent --nameradiator \
> --update --seconds 60 --hitcount 4 -j DROP
Спасибо за совет - делаемс ...
--
С уважением, Николай
^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2007-11-14 17:00 UTC | newest]
Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-11-14 7:56 [Sysadmins] ssh и reverse mapping checking getaddrinfo Nikolay
2007-11-14 8:20 ` Anton Farygin
2007-11-14 8:49 ` Nikolay
2007-11-14 8:25 ` Denis Ognewsky
2007-11-14 17:00 ` Nikolay
2007-11-14 9:18 ` Sergey
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git