Etusivu Etusivu

murtautumisyrityksiä

V

Viimeaikoina ovat erilaiset murtautumisyritykset lisääntyneet rajusti Elisa Viihde -liittymääni.  Alla esimerkki viime yöltä.

 

Onko niin, että Internet-verkkoa pyörittävät yritykset eivät nykyään välitä pätkääkään, mitä heidän asiakkaansa tekevät?

 

 

 --------------------- SSHD Begin ------------------------

 
 Network Read Write Errors: 2
 
 Illegal users from:
    5.189.151.170 (vmi248692.contaboserver.net): 49 Times
    5.196.197.77: 1 Time
    14.18.58.216: 53 Times
    14.29.184.152: 46 Times
    24.20.244.45 (c-24-20-244-45.hsd1.or.comcast.net): 22 Times
    27.69.164.113 (localhost): 38 Times
    27.128.187.131: 69 Times
    35.194.131.64 (64.131.194.35.bc.googleusercontent.com): 16 Times
    35.224.204.56 (56.204.224.35.bc.googleusercontent.com): 48 Times
    36.107.231.56: 36 Times
    36.111.171.14: 35 Times
    36.155.115.95: 38 Times
    37.98.196.162 (491.static.cpe.hcn.gr): 23 Times
    37.187.7.95 (ks3372588.kimsufi.com): 7 Times
    37.187.101.66 (ns3373005.ip-37-187-101.eu): 1 Time
    40.85.100.216: 3 Times
    40.117.41.106: 1 Time
    41.113.63.1: 2 Times
    45.55.214.64: 10 Times
    45.156.186.188 (hosted-by.parsvds.com): 1 Time
    45.222.18.153 (45-222-18-153.pool.rocketnet.co.za): 22 Times
    46.26.118.12 (static-12-118-26-46.ipcom.comunitel.net): 14 Times
    46.35.19.18: 1 Time
    46.101.128.28: 49 Times
    46.101.232.76: 45 Times
    46.218.85.69: 5 Times
    49.233.152.245: 19 Times
    49.234.124.225: 1 Time
    49.235.100.58: 32 Times
    50.70.229.239 (S0106105611a4b7a2.wp.shawcable.net): 70 Times
    51.38.189.138 (138.ip-51-38-189.eu): 11 Times
    51.77.140.36 (36.ip-51-77-140.eu): 48 Times
    51.91.100.120 (vps-21708951.vps.ovh.net): 10 Times
    51.161.45.174 (ip174.ip-51-161-45.net): 11 Times
    54.37.44.95 (ip95.ip-54-37-44.eu): 102 Times
    54.37.71.203 (203.ip-54-37-71.eu): 1 Time
    54.37.165.17 (ip17.ip-54-37-165.eu): 1 Time
    58.246.177.206: 10 Times
    58.250.0.73: 51 Times
    59.22.233.81: 41 Times
    60.51.17.33: 4 Times
    61.55.158.20: 9 Times
    62.94.193.216 (ip-193-216.sn1.clouditalia.com): 5 Times
    64.225.58.121: 48 Times
    68.183.137.173: 33 Times
    79.122.97.57 (4F7A6139.dsl.pool.telekom.hu): 11 Times
    81.133.142.45 (host81-133-142-45.in-addr.btopenworld.com): 5 Times
    81.192.31.23 (static-81-192-31-23.iam.net.ma): 13 Times
    83.240.242.218 (static-wan-bl2-242-218-rev.webside.pt): 18 Times
    85.233.150.13 (ws13.zone150.zaural.ru): 35 Times
    89.106.196.114 (89-106-196-114.static.issr.ru): 1 Time
    89.250.152.109 (89x250x152x109.static-business.tmn.ertelecom.ru): 20 Times
    91.144.173.197 (91x144x173x197.static-business.kirov.ertelecom.ru): 17 Times
    91.214.114.7 (mail.lonil.ru): 45 Times
    94.191.124.57: 1 Time
    96.93.196.89 (96-93-196-89-static.hfc.comcastbusiness.net): 21 Times
    101.36.164.203: 55 Times
    101.69.200.162: 24 Times
    101.71.3.53: 58 Times
    101.91.194.87: 70 Times
    103.90.203.186: 20 Times
    103.107.17.134 (m134.mycloudbox.in): 51 Times
    103.107.17.139 (m139.mycloudbox.in): 2 Times
    103.123.65.35: 15 Times
    103.129.223.136: 37 Times
    103.219.112.48: 40 Times
    103.235.197.70: 28 Times
    104.248.143.177: 49 Times
    106.12.91.102: 27 Times
    106.13.24.164: 22 Times
    106.13.56.249: 100 Times
    106.13.90.78: 8 Times
    106.13.215.17: 50 Times
    106.13.224.130: 14 Times
    106.54.202.152: 3 Times
    106.75.16.62: 14 Times
    106.124.130.114: 39 Times
    107.170.57.221: 1 Time
    107.182.177.38 (107.182.177.38.16clouds.com): 15 Times
    109.167.129.224 (petr.winlink.ru): 1 Time
    109.200.157.202 (ip202-157-200-109.crelcom.ru): 32 Times
    111.95.141.34 (fm-dyn-111-95-141-34.fast.net.id): 58 Times
    111.161.74.117 (dns117.online.tj.cn): 43 Times
    111.175.186.150: 85 Times
    111.229.120.31: 55 Times
    111.229.180.163: 14 Times
    113.134.211.28: 8 Times
    114.118.24.85: 12 Times
    115.133.237.161: 6 Times
    115.146.126.209 (sedeme.economiceerj.com): 27 Times
    115.236.100.114: 38 Times
    117.50.77.220: 43 Times
    117.184.228.6: 93 Times
    118.24.114.205: 1 Time
    118.25.99.44: 38 Times
    119.28.176.26: 7 Times
    119.96.173.202: 53 Times
    120.53.7.78: 1 Time
    120.70.101.85: 6 Times
    120.71.144.35: 49 Times
    120.133.1.16: 51 Times
    120.203.29.78: 36 Times
    122.51.234.86: 1 Time
    123.30.147.70 (static.vnpt.vn): 12 Times
    123.207.250.132: 51 Times
    124.152.118.131: 100 Times
    124.152.118.194: 1 Time
    124.205.224.179: 71 Times
    128.199.143.89 (edm.maceo-solutions.com): 43 Times
    129.204.80.188: 1 Time
    129.211.37.91: 1 Time
    134.175.32.95: 18 Times
    134.175.236.132: 1 Time
    134.209.178.109: 10 Times
    134.209.186.72: 47 Times
    137.74.44.162 (162.ip-137-74-44.eu): 50 Times
    138.68.44.236: 66 Times
    138.68.178.64: 46 Times
    138.197.162.28: 7 Times
    138.219.97.70 (dynamic-138-219-97-70.speedturbo.net.br): 5 Times
    139.59.12.65: 67 Times
    139.59.18.197: 40 Times
    139.59.59.102 (github.sattamatka.world): 11 Times
    139.59.161.78: 51 Times
    139.59.169.103: 1 Time
    139.155.24.139: 31 Times
    139.155.39.62: 1 Time
    139.198.9.141: 100 Times
    142.93.56.57: 22 Times
    144.217.19.8 (ip8.ip-144-217-19.net): 50 Times
    148.70.58.152: 1 Time
    152.168.117.159 (159-117-168-152.fibertel.com.ar): 40 Times
    154.221.30.108: 100 Times
    157.230.37.16: 1 Time
    159.203.219.38: 1 Time
    161.35.37.149: 47 Times
    162.243.215.241 (graphalyze.xyz): 37 Times
    162.243.232.174: 22 Times
    163.172.93.131 (sd.two-notes.net): 30 Times
    164.132.98.75 (75.ip-164-132-98.eu): 48 Times
    167.71.91.205: 49 Times
    167.172.69.52: 51 Times
    170.106.33.194: 2 Times
    175.6.102.248: 18 Times
    175.97.137.10 (175-97-137-10.dynamic.tfn.net.tw): 1 Time
    175.140.8.246: 3 Times
    176.31.127.152 (ns3141807.ip-176-31-127.eu): 29 Times
    177.131.122.106 (mail.ispmarvim.com.br): 28 Times
    178.33.67.12 (vps2.d3soft.ma): 31 Times
    178.62.0.215: 20 Times
    178.62.75.60: 6 Times
    178.128.22.249: 48 Times
    178.128.123.111: 11 Times
    178.237.0.229: 9 Times
    180.76.102.136: 31 Times
    180.76.136.81: 53 Times
    180.76.186.109: 34 Times
    180.76.238.69: 14 Times
    180.151.56.119 (180.151.56.119.reverse.spectranet.in): 100 Times
    181.48.225.126: 44 Times
    181.52.249.177 (static-ip-181520249177.cable.net.co): 58 Times
    182.61.172.57: 12 Times
    182.122.68.161 (hn.kd.ny.adsl): 1 Time
    182.180.128.132: 38 Times
    183.237.191.186: 13 Times
    186.139.218.8 (8-218-139-186.fibertel.com.ar): 23 Times
    186.234.249.196: 31 Times
    187.191.96.60: 5 Times
    188.166.58.29: 13 Times
    188.166.150.17: 50 Times
    189.28.166.216 (motocred.mma.com.br): 9 Times
    190.128.171.250 (static-250-171-128-190.telecel.com.py): 46 Times
    190.147.159.34 (static-ip-cr19014715934.cable.net.co): 53 Times
    190.210.42.209 (oficina.todoprepago.com): 5 Times
    191.162.218.41 (41.218.162.191.isp.timbrasil.com.br): 1 Time
    191.232.174.253: 1 Time
    191.242.188.142 (191.242.188.142.conecttelecom.com.br): 22 Times
    192.34.57.113 (doctorsfundinggroup.com): 12 Times
    193.112.54.190: 1 Time
    193.112.98.79: 52 Times
    193.112.141.32: 27 Times
    200.146.239.217 (200-146-239-217.xf-static.ctbcnetsuper.com.br): 7 Times
    201.62.73.92 (201-62-73-92.life.com.br): 62 Times
    201.91.86.28 (sao5007a.clienteadt.com.br): 40 Times
    203.195.235.135: 80 Times
    210.211.96.178: 34 Times
    210.245.85.36: 42 Times
    211.20.187.150: 41 Times
    212.64.79.37: 1 Time
    212.64.91.114: 78 Times
    218.2.204.119: 42 Times
    218.18.101.84: 39 Times
    219.135.209.13 (13.209.135.219.broad.gz.gd.dynamic.163data.com.cn): 38 Times
    219.136.243.47: 12 Times
    221.182.36.41: 1 Time
    222.99.84.121: 44 Times
    222.190.143.206: 14 Times
    222.240.1.0: 59 Times
 
 Login attempted when not in AllowUsers list:
    root : 5666 Times
 
 Received disconnect:
    Bye Bye [preauth] : 5758 Times
 
 ---------------------- SSHD End -------------------------

 

 

Tämä keskustelu on suljettu, eikä tätä voi kommentoida.

Kokeile löytyisikö samasta aiheesta toinen tai uudempi keskustelu.
Jos keskustelua tai vastausta ei löytynyt, aloita uusi keskustelu.

HAE KESKUSTELUISTA

10 kommenttia

Patomiäs
Arvonimi
Käyttäjätaso 7
Kunniamerkki +22

Moro @Vatnel ja tervetuloa OmaYhteisöön! :) Mistä nuo IP:t ja yhteydenottoyritykset olet poiminut? Mitä tuosta jokusen tarkistin niin mitään sen kummempaa en noiden perusteella keksinyt, vaikuttaisivat siis olevan ihan vain tavallisia eri yritysten ja palveluiden palvelimia jotka koittaneen ilmeisesti joko keskustella jonkun sun laitteen kanssa tai vastaavaa. Suoraan en kyllä siis noista huolestuisi ainakaan vielä tässä kohtaa näiden tietojen valossa :) 

Entinen moderaattori, nykyinen kommentaattori
V

Ne ovat peräisin Linux hostini fail2ban logista.  Ei ne ole yrittäneet keskustella, vaan päästä sisään hostiin root- ja muilla tunnuksilla.  Kyse on siis murtautumisyrityksistä ja niitä tulee joka päivä kymmeniä.  Se tässä ihmetyttää, että mikset operaattorit, joiden asiakkaita murtautujat ovat,  sulje heidän Internet-liittymiä, vaan antavat niiden vapaasti mellastaa ja harjoittaa laitonta toimintaa.

Patomiäs
Arvonimi
Käyttäjätaso 7
Kunniamerkki +22

Aaa, kappas. Olikin bottien yrityksiä :O Toi koko lista on siis pelkästään viime yöltä? Onko sulla joku oma serveri rullaamassa mistä noi on vai ns. kotikone joka rullannut yön päällä? Lähinnä mietin tuota määrää yrityksistä jos tuo kaikki on vain yhdeltä yöltä

Entinen moderaattori, nykyinen kommentaattori
V

Ne on yhden vuorokauden aikana tapahtuneita murtautumisyrityksiä ja sama toistuu vuorokaudesta toiseen.  Luulen, että murtautujat nimenomaan maalittavat Elisan asiakkaita, koska minulla on myös toisen operaattorin liittymä, eikä siellä näy vastaavaa.

Patomiäs
Arvonimi
Käyttäjätaso 7
Kunniamerkki +22

Onko yhteyksien päässä vastaavia laitteita vai onko toinen esimerkiksi serverikäytössä toimiva laite ja toinen tavallisemmassa surffailussa? Vai vaihteletko yhteyttä tuon kyseisen kohteen kanssa?

Entinen moderaattori, nykyinen kommentaattori
V

Elisan verkossa oleva on etupäässä käyttäjän laite kun taas toinen (johon ei kohdistu tällaisia murtautumisyrityksiä) on etupäässä serveri.  Luulisi homman menevän päin vastoin.

Patomiäs
Arvonimi
Käyttäjätaso 7
Kunniamerkki +22

Nojoo, luulisi kyllä että menisi juuri toisinpäin :O Tosin, käyttäjälaite voi herättää liikkeillään enemmän huomiota verkossa kuin serveri joka saattaa olla enemmän “sivussa” aktiivisen liikenteen taustalla. Onneksi sulla tuossa suojaus toimii, pitääpä ite ruveta logittamaan omia yhteyksiä taas pitkästä aikaa myös jossain kohtaa, viimeksi kun oon rullannut vastaavia niin todella paljon lopulta itellä tuli false positive ilmoituksia

Entinen moderaattori, nykyinen kommentaattori
olkitu
Käyttäjätaso 6
Kunniamerkki +11

Jos haluaa päästä tuosta bottilaumasta eroon niin kannattaa rajoittaa SSH:n pääsy vain tietysti IP-osoitteista. Miksi sallii kaikkialta maailmasta mahdollisesti pääsyn?

 

Ja ei noille boteille oikein mitään voi kuin vaan yksinkertaisesti rajoittaa SSH:lle pääsy. Minusta oikeastaan tämä paras tapa niin ei ne sitten ainakaan kirjaudu vaikka mitä tekisivät. 

Onko heikko matkapuhelimen kuuluvuus? Mittaa matkapuhelinverkon kuuluvuuksia Cellmapper-sovelluksella, saatavilla täältä https://www.cellmapper.net/apps ja ohje https://mt-tech.fi/cellmapper-mobiilitukiasemakartta/. Uusi kartta täältä BETA:na https://www.cellmapper.net/testmap/
H
Käyttäjätaso 5
Kunniamerkki +7

Jos haluaa päästä tuosta bottilaumasta eroon niin kannattaa rajoittaa SSH:n pääsy vain tietysti IP-osoitteista. Miksi sallii kaikkialta maailmasta mahdollisesti pääsyn?

 

Ja ei noille boteille oikein mitään voi kuin vaan yksinkertaisesti rajoittaa SSH:lle pääsy. Minusta oikeastaan tämä paras tapa niin ei ne sitten ainakaan kirjaudu vaikka mitä tekisivät. 

Jos itsellä on tarve päästä helposti etänä kiinni, niin rajoittaminen tietyistä ip-osoitteista ei ole hyvä ratkaisu. Itse olen vaihtanut oletus tcp/22 portin toiseen, eikä tule yhtään koputteluja. Pysyy logit siistinä.

olkitu
Käyttäjätaso 6
Kunniamerkki +11

Jos haluaa päästä tuosta bottilaumasta eroon niin kannattaa rajoittaa SSH:n pääsy vain tietysti IP-osoitteista. Miksi sallii kaikkialta maailmasta mahdollisesti pääsyn?

 

Ja ei noille boteille oikein mitään voi kuin vaan yksinkertaisesti rajoittaa SSH:lle pääsy. Minusta oikeastaan tämä paras tapa niin ei ne sitten ainakaan kirjaudu vaikka mitä tekisivät. 

Jos itsellä on tarve päästä helposti etänä kiinni, niin rajoittaminen tietyistä ip-osoitteista ei ole hyvä ratkaisu. Itse olen vaihtanut oletus tcp/22 portin toiseen, eikä tule yhtään koputteluja. Pysyy logit siistinä.

 

Noh sillä tavalla voi tehdä että sallii vaikka kaikki Suomen IP-osoitteet - ei Suomesta botteja oikein ole kun meillä noi aika äkkiä suljetaan mutta ulkomailla on paljon. 

 

Tuolta saa esim hyvin listan valmiina: https://www.ip2location.com/free/visitor-blocker

Onko heikko matkapuhelimen kuuluvuus? Mittaa matkapuhelinverkon kuuluvuuksia Cellmapper-sovelluksella, saatavilla täältä https://www.cellmapper.net/apps ja ohje https://mt-tech.fi/cellmapper-mobiilitukiasemakartta/. Uusi kartta täältä BETA:na https://www.cellmapper.net/testmap/

Osallistu arvontaan OmaElisassa!

OmaYhteisö-käyttöehdot