[linux-l] Scanner unterwegs
Winfried Wendler
W.Wendler at t-online.de
So Sep 5 21:10:38 CEST 2004
Hallo,
So etwas ist wohl ein Wurm oder?
in meinem syslog ist folgenden zu sehen
Sep 3 06:42:16 ibsen sshd[8770]: Illegal user test from ::ffff:62.50.74.178
Sep 3 06:42:16 ibsen sshd[8772]: Illegal user test from ::ffff:62.50.74.178
Sep 3 06:42:17 ibsen sshd[8774]: Illegal user guest from
::ffff:62.50.74.178
Sep 3 06:42:17 ibsen sshd[8776]: Illegal user guest from
::ffff:62.50.74.178
Sep 3 06:42:18 ibsen sshd[8778]: Illegal user admin from
::ffff:62.50.74.178
Sep 3 06:42:18 ibsen sshd[8780]: Illegal user admin from
::ffff:62.50.74.178
Sep 3 06:42:19 ibsen sshd[8782]: Illegal user admin from
::ffff:62.50.74.178
Sep 3 06:42:19 ibsen sshd[8784]: Illegal user admin from
::ffff:62.50.74.178
Sep 3 06:42:20 ibsen sshd[8786]: Failed password for user from
::ffff:62.50.74.178 port 43534 ssh2
Sep 3 06:42:20 ibsen sshd[8788]: Failed password for user from
::ffff:62.50.74.178 port 43565 ssh2
Sep 3 06:42:21 ibsen sshd[8790]: Failed password for root from
::ffff:62.50.74.178 port 43688 ssh2
Sep 3 06:42:21 ibsen sshd[8792]: Failed password for root from
::ffff:62.50.74.178 port 43719 ssh2
Sep 3 06:42:22 ibsen sshd[8794]: Accepted password for root from
::ffff:62.50.74.178 port 43814 ssh2
Sep 3 06:42:22 ibsen sshd[8796]: Accepted password for root from
::ffff:62.50.74.178 port 43847 ssh2
Sep 3 06:42:29 ibsen sshd[8833]: Failed password for root from
::ffff:62.50.74.178 port 44646 ssh2
Sep 3 06:42:30 ibsen sshd[8835]: Failed password for root from
::ffff:62.50.74.178 port 44662 ssh2
Sep 3 06:42:30 ibsen sshd[8837]: Illegal user test from ::ffff:62.50.74.178
Sep 3 06:42:30 ibsen sshd[8839]: Illegal user test from ::ffff:62.50.74.178
Da mein root Passwort nicht originell ist, hat man mich erwischt. Ich bin
aber nicht der Einzige, wie die steigende Anzahl von Scanns zeigt
ab 24.7 ca 1x pro Tag
30.8 2x
01.9 3x
02.9 4x
03.9 2x
04.9 4x
05.9.4x der Tag ist noch nicht um
Als Belohnung finde ich unter /tmp/.src
drwxr-xr-x 10 root root 1024 Sep 5 19:13 .bash
drwxr-xr-x 9 root root 1024 Sep 5 18:57 .i
drwxr-xr-x 3 root root 1024 Sep 5 03:00 .l
-rw-r--r-- 1 root root 556255 Dec 13 2003 psy.tgz
drwxr-xr-x 2 root root 1024 Sep 5 02:09 ssh
-rw-r--r-- 1 root root 585868 Aug 17 06:40 ssh.tar.gz
unter .bash ist psy.tgz in entpackter Form. Baut Verbindung zu anderen
Rechnern auf Port 6667 auf. Inklusiv Quellen und Doku!
unter ssh ist ssh.tgz in entpackter Form. Im Startscript steht "HaitaTeam
Scanner By X-Buffer "
unter .i ist ein Backdor mit DOCs und Install-script
unter .l ist eine Bash- und eine Piko- executable. Natuerlich nicht die
Originale
der ssh ist auch unter /var/log zu finden.
Das Einfachste ist mal netstat -a einzugeben. Wenn da etliche Verbindungen
zu fremden Rechnern zum Port 6667 sind, hat es euch auch erwischt.
Zwei weitere Mühle mit dem gleichen Roorpasswort laufen seit gestern auch
nicht mehr sauber. Wer sich für die Dinger interessiert, ne Mail mit
Fuehrungszeugnis an mich ;-) genuegt.
Winfried
Mehr Informationen über die Mailingliste linux-l