Czy sprawdzaliście ile "niechcianego" ruchu z internetu przychodzi do urządzenia z publicznym adresem IPv4? W domowych warunkach takim urządzeniem "wystawionym na Świat" może być router, laptop, lub np. telewizor. Na interfejs urządzenia z publicznym adresem IP poza komunikacją, którą sami inicjujemy będzie trafiał ruch z automatycznych skanów i prób ataków. Dla osób pracujących w firmach udostępniających usługi sieciowe, monitorowanie i analiza ruchu sieciowego to codzienność, poza zautomatyzowanym rekonesansem mogą pojawić się ataki APT, DDoS. Czy w warunkach domowych uda się zauważyć podejrzaną aktywność sieciową przychodzącą z internetu do interfejsu urządzenia?
Do wykonania eksperymentu zainspirował mnie : wyświetlacz LED sterowany pingami (ICMP) na adresy IPv6. Autor w poprzedniej edycji sterował oświetleniem choinki również przy pomocy pingowania adresów IPv6. Zastosował router Mikrotik, który przesyłał z firewall komunikaty syslog (już po IPv4) do Arduino sterującego LED WS2812B. Ponieważ opisany tutaj router: Mikrotik hEX RB750GR3 został wymieniony na inny "mocniejszy" i zakończył pracę produkcyjną, można go było wykorzystać do eksperymentu. Logi z firewall można zapisać np. na karcie SD ( w tym routerze jest to disk2) i później poddać analizie. Router został wystawiony na dawno nie używanym publicznym adresie IPv4, zobaczymy jaki ruch z internetu będzie przychodził do urządzenia. Wykorzystany adres IP od dawana nie był związany z żadnymi usługami, więc możemy liczyć na pojawianie się w głównej mierze ruchu związanego z automatycznym skanowaniem podatności.
Etap 1 - "stealth mode" - nasłuchujemy pakiety przychodzące. Na początek cały ruch przychodzący na interfejsie WAN został zablokowany, zdarzenia są logowane na kacie micro SD.
Na interfejsie pojawiają się automatycznie skanowania portów, bardzo popularne są interfejsy zarządzające telnet, HTTP, SSH, ale pojawiają się także bazy danych, pulpity zdalne, a także porty urządzeń VoIP. Najpopularniejszy jest telnet. Głównie jest to skanowanie otwartych portów, ping jest sprawdzany bardzo rzadko. Podobnie brak intensywnego skanowania np. usług SMB Microsoft lub NFS Linux. Automatyczne skany celują głównie w sprzęt routery, telefony IP, drukarki, oraz usługi sieciowe i usługi dostępu zdalnego np. RDP. Poniżej najpopularniejsze sprawdzane porty w ciągu 24 godzin próby.
Etap 2 - odpowiadamy na ping. Zobaczmy czy odpowiedź na ping, w jakikolwiek sposób wpłynie na ruch przychodzący do routera.
Tutaj zaskoczenie, odpowiedzi na ping nie zwiększyły znacząco przychodzącego ruchu ICMP, ilość skanowań portów była nieco większa, oraz nieznacznie zmieniła się charakterystyka najpopularniejszych portów, telnet nadal na pierwszym miejscu. Pingowanie jest wykonywane dość dyskretne, znacznie bardziej popularne jest skanowanie konkretnych portów.
Etap 3 - udajemy dostępność telnet. W przychodzącym ruchu pojawiały się liczne próby dostępu na port 23, z którym często wiąże się usługa telnet.
Przekierujmy port 23 na interfejsie WAN routera na adres urządzenia (np. Raspberry Pi) za NAT na którym będzie działał skrypt w python 3, udający możliwość logowania się do telnet nasłuchując na porcie 2323 (przekierowanie z portu 23 na interfejsie WAN routera).
Ruch przychodzący na port 23 pojawia się falami z pojedynczych adresów IP, do symulowania dostępności telnet wykorzystamy prymitywny i napisany na szybko, jednowątkowy kod w python, kod załączony poniżej.
Kod: python
Zaloguj się, aby zobaczyć kod
W sieci znajdziecie bardziej zaawansowane honeypoty, np. honeypot udający możliwość zalogowania poprzez telnet się i wydawania poleceń:
https://github.com/stamparm/hontel autorowi udało się zarejestrować aktywność polegającą na próbach dołączenia symulowanego urządzenia do botnetu.
Podobny projekt także tutaj: https://github.com/Phype/telnet-iot-honeypot
W statystykach widoczne jest znaczące zainteresowanie otwartym portem 23. Początkowo port był skanowany tylko dla sprawdzenia czy jest otwarty, lub były wysyłane dwa "entery" dla login i password. Po pewnym czasie pojawiły się próby logowania z wykorzystaniem popularnych nazw użytkownika typu 'admin', 'root', oraz pustego hasła lub haseł typu:
admin, password, pass, 12345, 54321, itp. hasła domyślne producentów.
Pojawiały się także znacznie bardziej skomplikowane loginy oraz hasła, być może są to hasła występujące na stałe w niektórych modelach sprzętu. Niektóre dane sugerowały zainteresowanie atakujących kamerami i rejestratorami IP.
Taka tylna furtka może się pojawić z różnych powodów, np. obecność w kodzie produkcyjnym pozostałości po fazie testów, które ktoś zapomniał usunąć, lub furtka która pozwala na odzyskanie dostępu do urządzenia gdy zgubimy wprowadzone hasła, np. z wykorzystaniem specjalnego oprogramowaniem producenta. Czasami taki awaryjny dostęp wystawiony jest na nietypowy port, lub korzysta z nietypowej nazwy użytkownika. Są to przypuszczenia, skąd w próbach ataków pojawiły się takie złożone hasła, trudno jednoznacznie powiedzieć.
Tak wygląda statystyka popularności sprawdzanych portów po otwarciu telnet:
Często widzę, że ktoś podłącza do internetu urządzenia z domyślną konfiguracją "na chwilę" aby zrobić jakiś test. Lepiej tak nie robić, akurat możemy trafić na moment skanowania, a nasze urządzenie może być podatne na taki atak. Mniej zaufane urządzenia warto schować za NAT i odpowiednio skonfigurować firewall. Jak będzie wyglądał niechciany ruch w erze IPv6 gdzie każde urządzenie może dysponować publicznym adresem IP?
Czy macie dostęp do statystyk odrzuconego ruchu na interfejsach WAN, czy zauważyliście tam coś ciekawego?
Bardzo ciekawy test. Nie spodziewałem się takiego zainteresowania telnetem, ja osobiście nigdy nie miałem potrzeby odblokowywania portu 23. Największe zaskoczenie to MSSQL - kto wystawia bazę bezpośrednio do internetu? Test pokazuje także, gdzie są największe i najprawdopodobniejsze luki w bezpieczeństwie. Jeśli zestawić jakie porty są najczęściej otwarte to będzie to zapewne HTTP, HTTPS, SSH i RDP, a nie telnet czy MSSQL. Zawsze zastanawiało mnie bezpieczeństwo RDP. Jeśli popatrzeć na wykres jako "prawdopodobieństwo dziury" RDP wypada całkiem nieźle - ma wynik zbliżony do SSH.
Bardzo ciekawy test. Nie spodziewałem się takiego zainteresowania telnetem, ja osobiście nigdy nie miałem potrzeby odblokowywania portu 23. Największe zaskoczenie to MSSQL - kto wystawia bazę bezpośrednio do internetu? Test pokazuje także, gdzie są największe i najprawdopodobniejsze luki w bezpieczeństwie. Jeśli zestawić jakie porty są najczęściej otwarte to będzie to zapewne HTTP, HTTPS, SSH i RDP, a nie telnet czy MSSQL. Zawsze zastanawiało mnie bezpieczeństwo RDP. Jeśli popatrzeć na wykres jako "prawdopodobieństwo dziury" RDP wypada całkiem nieźle - ma wynik zbliżony do SSH.
No cóż, spotkałem się z tym i to w programach komercyjnych. Baza firebird, port 3050 i hulaj dusza w dostępie do bazy ... aha sysdba i masterkey , tego producent oprogramowania nie zmienił. Nikt tego nie zmienia.
Mnie zdziwił praktycznie brak ataków na SMB/NFS do zasobów np. na NAS lub komputerach,
ale trzeba wziąć poprawkę że to ataki automatyczne, nastawione na dołączenie urządzeń do botnetu, ew. wysłanie spamu, a także rozwinięcie dalszej fazy ataku.
Co do telnet to może to taki test, skoro telnet jest otwarty na świat to może urządzenie ma ustawienia domyślne i warto go zaatakować.
Ataki na telefony VoIP/drukarki i kamery IP/rejestratory też pokazują że ich ilość jest już na tyle duża że stają się sensowną platformą do budowy botnetów...
Co do tych zaszytych na stałe "uniwersalnych" kont/haseł to powinien być zakaz dla producentów stosowania czegoś takiego, ale część z nich to mogą być błędy i niedopatrzenia...
Skoro doświadczenie pokazało, że poziom zagrożenia jest aż tak wysoki, to jak sprawdzić, które porty mój router podpięty do telewizji kablowej ma pootwierane i jak je dezaktywować? Z panelu administracyjnego dostępnego dla klienta to tego nie widać.
Swego czasu sprawdzałem adresy, które atakowały router. Wśród nic nie mówiących domen znalazła się MSWiA. Było to dawno temu i nawet nie pamiętam który port atakowali.
Miałem też sporo prób ataków na SIP. Z tym dobrze radziła sobie sama centrala blokując taki adres IP na 10 minut.
Skoro doświadczenie pokazało, że poziom zagrożenia jest aż tak wysoki, to jak sprawdzić, które porty mój router podpięty do telewizji kablowej ma pootwierane i jak je dezaktywować? Z panelu administracyjnego dostępnego dla klienta to tego nie widać.
Za bezpieczeństwo routera odpowiada dostawca usługi w tym przypadku. Jak chcesz mieć pełne panowanie nad routerem to musisz kupić swój.
Phaeton napisał:
ale ciekawią mnie IP źródłowe, skąd przychodzą skany.
Skoro doświadczenie pokazało, że poziom zagrożenia jest aż tak wysoki, to jak sprawdzić, które porty mój router podpięty do telewizji kablowej ma pootwierane i jak je dezaktywować? Z panelu administracyjnego dostępnego dla klienta to tego nie widać.
Za bezpieczeństwo routera odpowiada dostawca usługi w tym przypadku. Jak chcesz mieć pełne panowanie nad routerem to musisz kupić swój.
Gdzie się tylko da ustawiam (żądam ustawienia) modemu+routera w tryb modem/brige i stawiam swój router. Na dzień dobry, we wszystkich lokalizacjach, mam ten sam router, tak samo konfigurowany, ma dwa WAN, więc jak ma być pewne łącze to modę dołączyć innego operatora czy modem GSM.
ale ciekawią mnie IP źródłowe, skąd przychodzą skany.
Proszę bardzo. Mam kilka routerów z publicznymi IP pod moją opieką.
Oto zrzut z logu z jednego z routerów.
Wejście do logowania otywarte na portach telnet i SSH, ale zabezpieczone przez Access List'ę
Rządowy program szpiegujący jest jak najbardziej w użyciu. Donosił o tym Niebezpiecznik. Wydało się to po jakimś niedociągnięciu.
Urządzenie z publicznym adresem IP musi być przygotowane na wszelkie możliwe ataki.
@Phaeton, @Szyszkownik Kilkujadek skany ogólne z całego Świata, ale np. próby zalogowania się do telnet różnymi loginami i hasłami najwięcej z:
Brazylia
USA
UK
Tajwan
Chiny
@szumigt baza zwykle komunikuje się "lokalnie" z serwerami i jej usługi nie są bezpośrednio wystawione na Świat,
jeżeli coś jest ładowane do bazy z zewnętrznych źródeł to najczęściej jest to efektem działania np. php, albo danych przychodzących po MQTT, takie dane są przetworzone i dopiero załadowane do bazy.
@Piottr242 możesz przeskanować porty na jego publicznym IP z innego publicznego IP, jednak najlepiej tryb "bridge" oraz dezaktywacja WiFi na dostarczonym pudełku, oraz konfiguracja na urządzeniach nad którymi masz kontrolę.
Ja mam wystawione do internetu SSH, o czym zapomniałem zupełnie, ostatnio przeglądałem log i mi się przypomniało. Warto zauważyć że IP 88.214.26.49 zdedydowanie wziął sobie za cel zdobycie mojego hasła do roota, odkąd zauważyłem logowania to ten adres nigdy nie odpuszcza Reszta jest bardzo losowa. Czasem jeszcze próbują podłączyć się do vpna PPTP, ale to znacznie rzadziej. Do OpenVPN zauważyłem tylko kilka prób, inne rzeczy wystawione do internetu nie mają loga np. kamera IP. Z loga usunąłem inne, niepotrzebne informacje.
Spoiler:
Code:
Wed Jan 16 07:52:36 2019 authpriv.info dropbear[25573]: Child connection from 122.226.181.164:42872
Wed Jan 16 07:52:40 2019 authpriv.info dropbear[25573]: Exit before auth: Disconnect received
Wed Jan 16 08:52:36 2019 authpriv.info dropbear[29305]: Child connection from 122.226.181.167:50284
Wed Jan 16 08:52:40 2019 authpriv.info dropbear[29305]: Exit before auth: Disconnect received
Wed Jan 16 08:59:02 2019 authpriv.info dropbear[29306]: Child connection from 112.154.249.122:39513
Wed Jan 16 08:59:05 2019 authpriv.warn dropbear[29306]: Login attempt for nonexistent user from 112.154.249.122:39513
Wed Jan 16 08:59:06 2019 authpriv.warn dropbear[29306]: Login attempt for nonexistent user from 112.154.249.122:39513
Wed Jan 16 08:59:06 2019 authpriv.warn dropbear[29306]: Login attempt for nonexistent user from 112.154.249.122:39513
Wed Jan 16 08:59:07 2019 authpriv.info dropbear[29306]: Exit before auth: Max auth tries reached - user 'is invalid' from 112.154.249.122:39513
Wed Jan 16 09:00:35 2019 authpriv.info dropbear[29919]: Child connection from 116.31.116.2:56295
Wed Jan 16 09:00:36 2019 authpriv.info dropbear[29919]: Exit before auth: Disconnect received
Wed Jan 16 09:00:36 2019 authpriv.info dropbear[29920]: Child connection from 116.31.116.2:56445
Wed Jan 16 09:00:39 2019 authpriv.info dropbear[29920]: Exit before auth: Disconnect received
Wed Jan 16 09:00:39 2019 authpriv.info dropbear[29921]: Child connection from 116.31.116.2:57124
Wed Jan 16 09:00:40 2019 authpriv.info dropbear[29921]: Exit before auth: Disconnect received
Wed Jan 16 09:00:41 2019 authpriv.info dropbear[29922]: Child connection from 116.31.116.2:57296
Wed Jan 16 09:00:42 2019 authpriv.info dropbear[29922]: Exit before auth: Disconnect received
Wed Jan 16 09:21:58 2019 authpriv.info dropbear[31161]: Child connection from 212.220.211.60:33113
Wed Jan 16 09:22:00 2019 authpriv.warn dropbear[31161]: Bad password attempt for 'root' from 212.220.211.60:33113
Wed Jan 16 09:22:00 2019 authpriv.warn dropbear[31161]: Bad password attempt for 'root' from 212.220.211.60:33113
Wed Jan 16 09:22:01 2019 authpriv.warn dropbear[31161]: Bad password attempt for 'root' from 212.220.211.60:33113
Wed Jan 16 09:22:01 2019 authpriv.info dropbear[31161]: Exit before auth (user 'root', 3 fails): Max auth tries reached - user 'root' from 212.220.211.60:33113
Wed Jan 16 09:36:32 2019 authpriv.info dropbear[31790]: Child connection from 61.184.247.11:34298
Wed Jan 16 09:36:36 2019 authpriv.info dropbear[31790]: Exit before auth: Disconnect received
Wed Jan 16 09:41:19 2019 authpriv.info dropbear[32402]: Child connection from 223.111.139.244:34690
Wed Jan 16 09:41:23 2019 authpriv.info dropbear[32402]: Exit before auth: Disconnect received
Wed Jan 16 09:49:39 2019 authpriv.info dropbear[32411]: Child connection from 198.98.58.235:40014
Wed Jan 16 09:49:40 2019 authpriv.info dropbear[32411]: Exit before auth: Disconnect received
Wed Jan 16 09:51:18 2019 authpriv.info dropbear[564]: Child connection from 125.65.42.192:59465
Wed Jan 16 09:51:22 2019 authpriv.info dropbear[564]: Exit before auth: Disconnect received
Wed Jan 16 09:54:50 2019 authpriv.info dropbear[566]: Child connection from 36.156.24.94:41714
Wed Jan 16 09:54:54 2019 authpriv.info dropbear[566]: Exit before auth: Disconnect received
Wed Jan 16 09:57:03 2019 authpriv.info dropbear[567]: Child connection from 122.226.181.165:42512
Wed Jan 16 09:57:20 2019 authpriv.info dropbear[567]: Exit before auth: Disconnect received
Wed Jan 16 10:09:58 2019 authpriv.info dropbear[1203]: Child connection from 115.238.245.4:41026
Wed Jan 16 10:10:02 2019 authpriv.info dropbear[1203]: Exit before auth: Disconnect received
Wed Jan 16 10:10:35 2019 authpriv.info dropbear[1825]: Child connection from 223.111.139.247:55058
Wed Jan 16 10:10:42 2019 authpriv.info dropbear[1825]: Exit before auth: Disconnect received
Wed Jan 16 10:14:00 2019 authpriv.info dropbear[1826]: Child connection from 222.186.30.71:57102
Wed Jan 16 10:14:04 2019 authpriv.info dropbear[1826]: Exit before auth: Disconnect received
Wed Jan 16 10:31:46 2019 authpriv.info dropbear[3070]: Child connection from 198.98.61.169:44164
Wed Jan 16 10:31:46 2019 authpriv.info dropbear[3070]: Exit before auth: Disconnect received
Wed Jan 16 10:58:59 2019 authpriv.info dropbear[4311]: Child connection from 209.141.50.57:45430
Wed Jan 16 10:59:00 2019 authpriv.info dropbear[4311]: Exit before auth: Disconnect received
Wed Jan 16 11:10:43 2019 authpriv.info dropbear[4931]: Child connection from 200.194.15.253:48782
Wed Jan 16 11:10:45 2019 authpriv.warn dropbear[4931]: Bad password attempt for 'root' from 200.194.15.253:48782
Wed Jan 16 11:10:46 2019 authpriv.warn dropbear[4931]: Bad password attempt for 'root' from 200.194.15.253:48782
Wed Jan 16 11:10:46 2019 authpriv.warn dropbear[4931]: Bad password attempt for 'root' from 200.194.15.253:48782
Wed Jan 16 11:10:46 2019 authpriv.info dropbear[4931]: Exit before auth (user 'root', 3 fails): Max auth tries reached - user 'root' from 200.194.15.253:48782
Wed Jan 16 11:11:47 2019 authpriv.info dropbear[5543]: Child connection from 61.184.247.11:40026
Wed Jan 16 11:11:51 2019 authpriv.info dropbear[5543]: Exit before auth: Disconnect received
Wed Jan 16 11:13:53 2019 authpriv.info dropbear[5544]: Child connection from 36.156.24.94:60682
Wed Jan 16 11:13:59 2019 authpriv.info dropbear[5544]: Exit before auth: Disconnect received
Wed Jan 16 11:16:34 2019 authpriv.info dropbear[5554]: Child connection from 223.111.139.244:35456
Wed Jan 16 11:16:38 2019 authpriv.info dropbear[5554]: Exit before auth: Disconnect received
Wed Jan 16 11:18:11 2019 authpriv.info dropbear[5555]: Child connection from 122.226.181.164:43426
Wed Jan 16 11:18:15 2019 authpriv.info dropbear[5555]: Exit before auth: Disconnect received
Wed Jan 16 11:24:46 2019 authpriv.info dropbear[6170]: Child connection from 138.75.150.49:54137
Wed Jan 16 11:24:49 2019 authpriv.warn dropbear[6170]: Bad password attempt for 'root' from 138.75.150.49:54137
Wed Jan 16 11:24:50 2019 authpriv.warn dropbear[6170]: Bad password attempt for 'root' from 138.75.150.49:54137
Wed Jan 16 11:24:50 2019 authpriv.warn dropbear[6170]: Bad password attempt for 'root' from 138.75.150.49:54137
Wed Jan 16 11:24:51 2019 authpriv.info dropbear[6170]: Exit before auth (user 'root', 3 fails): Max auth tries reached - user 'root' from 138.75.150.49:54137
Wed Jan 16 11:26:33 2019 authpriv.info dropbear[6179]: Child connection from 125.65.42.192:39559
Wed Jan 16 11:26:37 2019 authpriv.info dropbear[6179]: Exit before auth: Disconnect received
Wed Jan 16 11:28:45 2019 authpriv.info dropbear[6180]: Child connection from 115.238.245.4:38283
Wed Jan 16 11:28:49 2019 authpriv.info dropbear[6180]: Exit before auth: Disconnect received
Wed Jan 16 11:33:40 2019 authpriv.info dropbear[6793]: Child connection from 223.111.139.247:37524
Wed Jan 16 11:33:50 2019 authpriv.info dropbear[6793]: Exit before auth: Disconnect received
Wed Jan 16 11:33:53 2019 authpriv.info dropbear[6794]: Child connection from 36.156.24.97:55777
Wed Jan 16 11:33:57 2019 authpriv.info dropbear[6794]: Exit before auth: Disconnect received
Wed Jan 16 11:45:19 2019 authpriv.info dropbear[7415]: Child connection from 218.92.1.147:63097
Wed Jan 16 11:45:22 2019 authpriv.info dropbear[7415]: Exit before auth: Disconnect received
Wed Jan 16 12:20:13 2019 authpriv.info dropbear[9275]: Child connection from 199.19.225.65:51964
Wed Jan 16 12:20:13 2019 authpriv.info dropbear[9275]: Exit before auth: Disconnect received
Wed Jan 16 12:33:07 2019 authpriv.info dropbear[10516]: Child connection from 51.15.156.124:65430
Wed Jan 16 12:33:09 2019 authpriv.warn dropbear[10516]: Login attempt for nonexistent user from 51.15.156.124:65430
Wed Jan 16 12:33:30 2019 authpriv.info dropbear[10516]: Exit before auth: Disconnect received
Wed Jan 16 12:38:02 2019 authpriv.info dropbear[10517]: Child connection from 36.156.24.94:37682
Wed Jan 16 12:38:07 2019 authpriv.info dropbear[10517]: Exit before auth: Disconnect received
Wed Jan 16 12:47:36 2019 authpriv.info dropbear[11137]: Child connection from 118.123.15.142:55644
Wed Jan 16 12:47:44 2019 authpriv.info dropbear[11137]: Exit before auth: Disconnect received
Wed Jan 16 12:49:24 2019 authpriv.info dropbear[11139]: Child connection from 61.184.247.3:44559
Wed Jan 16 12:49:28 2019 authpriv.info dropbear[11139]: Exit before auth: Disconnect received
Wed Jan 16 12:56:11 2019 authpriv.info dropbear[11759]: Child connection from 223.111.139.244:34828
Wed Jan 16 12:56:16 2019 authpriv.info dropbear[11759]: Exit before auth: Disconnect received
Wed Jan 16 12:56:31 2019 authpriv.info dropbear[11760]: Child connection from 222.186.30.71:51410
Wed Jan 16 12:56:37 2019 authpriv.info dropbear[11760]: Exit before auth: Disconnect received
Wed Jan 16 12:59:03 2019 authpriv.info dropbear[11761]: Child connection from 223.111.139.210:46426
Wed Jan 16 12:59:12 2019 authpriv.info dropbear[11761]: Exit before auth: Disconnect received
Wed Jan 16 13:04:43 2019 authpriv.info dropbear[12374]: Child connection from 122.226.181.164:44738
Wed Jan 16 13:04:48 2019 authpriv.info dropbear[12374]: Exit before auth: Disconnect received
Wed Jan 16 13:09:05 2019 authpriv.info dropbear[12383]: Child connection from 88.214.26.49:45804
Wed Jan 16 13:09:09 2019 authpriv.warn dropbear[12383]: Login attempt for nonexistent user from 88.214.26.49:45804
Wed Jan 16 13:09:09 2019 authpriv.warn dropbear[12383]: Client trying multiple usernames from 88.214.26.49:45804
Wed Jan 16 13:09:09 2019 authpriv.warn dropbear[12383]: Login attempt for nonexistent user from 88.214.26.49:45804
Wed Jan 16 13:09:10 2019 authpriv.warn dropbear[12383]: Client trying multiple usernames from 88.214.26.49:45804
Wed Jan 16 13:09:10 2019 authpriv.warn dropbear[12383]: Login attempt for nonexistent user from 88.214.26.49:45804
Wed Jan 16 13:09:10 2019 authpriv.info dropbear[12383]: Exit before auth: Exited normally
Wed Jan 16 13:09:10 2019 authpriv.info dropbear[12384]: Child connection from 88.214.26.49:44984
Wed Jan 16 13:09:15 2019 authpriv.warn dropbear[12384]: Bad password attempt for 'root' from 88.214.26.49:44984
Wed Jan 16 13:09:15 2019 authpriv.warn dropbear[12384]: Client trying multiple usernames from 88.214.26.49:44984
Wed Jan 16 13:09:15 2019 authpriv.warn dropbear[12384]: Login attempt for nonexistent user from 88.214.26.49:44984
Wed Jan 16 13:09:16 2019 authpriv.warn dropbear[12384]: Login attempt for nonexistent user from 88.214.26.49:44984
Wed Jan 16 13:09:17 2019 authpriv.info dropbear[12384]: Exit before auth: Exited normally
Wed Jan 16 13:09:17 2019 authpriv.info dropbear[12385]: Child connection from 88.214.26.49:33585
Wed Jan 16 13:09:20 2019 authpriv.warn dropbear[12385]: Login attempt for nonexistent user from 88.214.26.49:33585
Wed Jan 16 13:09:20 2019 authpriv.warn dropbear[12385]: Client trying multiple usernames from 88.214.26.49:33585
Wed Jan 16 13:09:20 2019 authpriv.warn dropbear[12385]: Login attempt for nonexistent user from 88.214.26.49:33585
Wed Jan 16 13:09:21 2019 authpriv.warn dropbear[12385]: Client trying multiple usernames from 88.214.26.49:33585
Wed Jan 16 13:09:21 2019 authpriv.warn dropbear[12385]: Login attempt for nonexistent user from 88.214.26.49:33585
Wed Jan 16 13:09:21 2019 authpriv.info dropbear[12386]: Child connection from 88.214.26.49:55025
Wed Jan 16 13:09:21 2019 authpriv.info dropbear[12385]: Exit before auth: Exited normally
Wed Jan 16 13:09:24 2019 authpriv.warn dropbear[12386]: Login attempt for nonexistent user from 88.214.26.49:55025
Wed Jan 16 13:09:24 2019 authpriv.warn dropbear[12386]: Client trying multiple usernames from 88.214.26.49:55025
Wed Jan 16 13:09:24 2019 authpriv.warn dropbear[12386]: Login attempt for nonexistent user from 88.214.26.49:55025
Wed Jan 16 13:09:25 2019 authpriv.warn dropbear[12386]: Client trying multiple usernames from 88.214.26.49:55025
Wed Jan 16 13:09:25 2019 authpriv.warn dropbear[12386]: Login attempt for nonexistent user from 88.214.26.49:55025
Wed Jan 16 13:09:26 2019 authpriv.info dropbear[12386]: Exit before auth: Exited normally
Wed Jan 16 13:09:26 2019 authpriv.info dropbear[12387]: Child connection from 88.214.26.49:59502
Wed Jan 16 13:09:30 2019 authpriv.warn dropbear[12387]: Login attempt for nonexistent user from 88.214.26.49:59502
Wed Jan 16 13:09:30 2019 authpriv.warn dropbear[12387]: Login attempt for nonexistent user from 88.214.26.49:59502
Wed Jan 16 13:09:31 2019 authpriv.warn dropbear[12387]: Client trying multiple usernames from 88.214.26.49:59502
Wed Jan 16 13:09:31 2019 authpriv.warn dropbear[12387]: Login attempt for nonexistent user from 88.214.26.49:59502
Wed Jan 16 13:09:31 2019 authpriv.info dropbear[12387]: Exit before auth: Exited normally
Wed Jan 16 13:09:31 2019 authpriv.info dropbear[12388]: Child connection from 88.214.26.49:59689
Wed Jan 16 13:09:34 2019 authpriv.warn dropbear[12388]: Login attempt for nonexistent user from 88.214.26.49:59689
Wed Jan 16 13:09:35 2019 authpriv.warn dropbear[12388]: Client trying multiple usernames from 88.214.26.49:59689
Wed Jan 16 13:09:35 2019 authpriv.warn dropbear[12388]: Bad password attempt for 'root' from 88.214.26.49:59689
Wed Jan 16 13:09:35 2019 authpriv.warn dropbear[12388]: Client trying multiple usernames from 88.214.26.49:59689
Wed Jan 16 13:09:35 2019 authpriv.warn dropbear[12388]: Login attempt for nonexistent user from 88.214.26.49:59689
Wed Jan 16 13:09:36 2019 authpriv.info dropbear[12388]: Exit before auth: Exited normally
Wed Jan 16 13:09:36 2019 authpriv.info dropbear[12389]: Child connection from 88.214.26.49:58352
Wed Jan 16 13:09:39 2019 authpriv.warn dropbear[12389]: Login attempt for nonexistent user from 88.214.26.49:58352
Wed Jan 16 13:09:39 2019 authpriv.warn dropbear[12389]: Client trying multiple usernames from 88.214.26.49:58352
Wed Jan 16 13:09:39 2019 authpriv.warn dropbear[12389]: Login attempt for nonexistent user from 88.214.26.49:58352
Wed Jan 16 13:09:40 2019 authpriv.warn dropbear[12389]: Client trying multiple usernames from 88.214.26.49:58352
Wed Jan 16 13:09:40 2019 authpriv.warn dropbear[12389]: Login attempt for nonexistent user from 88.214.26.49:58352
Wed Jan 16 13:09:40 2019 authpriv.info dropbear[12389]: Exit before auth: Exited normally
Wed Jan 16 13:09:40 2019 authpriv.info dropbear[12390]: Child connection from 88.214.26.49:45752
Wed Jan 16 13:09:42 2019 authpriv.warn dropbear[12390]: User 'ftp' has invalid shell, rejected
Wed Jan 16 13:09:43 2019 authpriv.warn dropbear[12390]: Client trying multiple usernames from 88.214.26.49:45752
Wed Jan 16 13:09:43 2019 authpriv.warn dropbear[12390]: Login attempt for nonexistent user from 88.214.26.49:45752
Wed Jan 16 13:09:43 2019 authpriv.warn dropbear[12390]: Client trying multiple usernames from 88.214.26.49:45752
Wed Jan 16 13:09:43 2019 authpriv.warn dropbear[12390]: Login attempt for nonexistent user from 88.214.26.49:45752
Wed Jan 16 13:09:44 2019 authpriv.info dropbear[12390]: Exit before auth: Exited normally
Wed Jan 16 13:09:44 2019 authpriv.info dropbear[12391]: Child connection from 88.214.26.49:57122
Wed Jan 16 13:09:46 2019 authpriv.warn dropbear[12391]: Login attempt for nonexistent user from 88.214.26.49:57122
Wed Jan 16 13:09:47 2019 authpriv.warn dropbear[12391]: Client trying multiple usernames from 88.214.26.49:57122
Wed Jan 16 13:09:47 2019 authpriv.warn dropbear[12391]: Bad password attempt for 'root' from 88.214.26.49:57122
Wed Jan 16 13:09:47 2019 authpriv.warn dropbear[12391]: Client trying multiple usernames from 88.214.26.49:57122
Wed Jan 16 13:09:47 2019 authpriv.warn dropbear[12391]: Login attempt for nonexistent user from 88.214.26.49:57122
Wed Jan 16 13:09:48 2019 authpriv.info dropbear[12391]: Exit before auth: Exited normally
Wed Jan 16 13:09:48 2019 authpriv.info dropbear[12392]: Child connection from 88.214.26.49:60234
Wed Jan 16 13:09:51 2019 authpriv.warn dropbear[12392]: Login attempt for nonexistent user from 88.214.26.49:60234
Wed Jan 16 13:09:51 2019 authpriv.warn dropbear[12392]: Login attempt for nonexistent user from 88.214.26.49:60234
Wed Jan 16 13:09:51 2019 authpriv.warn dropbear[12392]: Login attempt for nonexistent user from 88.214.26.49:60234
Wed Jan 16 13:09:52 2019 authpriv.info dropbear[12392]: Exit before auth: Max auth tries reached - user 'is invalid' from 88.214.26.49:60234
Wed Jan 16 13:42:19 2019 authpriv.info dropbear[14864]: Child connection from 112.85.42.197:63761
Wed Jan 16 13:42:26 2019 authpriv.info dropbear[14864]: Exit before auth: Disconnect received
Wed Jan 16 14:08:27 2019 authpriv.info dropbear[16103]: Child connection from 61.184.247.8:40171
Wed Jan 16 14:08:31 2019 authpriv.info dropbear[16103]: Exit before auth: Disconnect received
Wed Jan 16 14:33:13 2019 authpriv.info dropbear[17956]: Child connection from 220.86.128.100:57774
Wed Jan 16 14:33:15 2019 authpriv.warn dropbear[17956]: Bad password attempt for 'root' from 220.86.128.100:57774
Wed Jan 16 14:33:16 2019 authpriv.warn dropbear[17956]: Bad password attempt for 'root' from 220.86.128.100:57774
Wed Jan 16 14:33:17 2019 authpriv.warn dropbear[17956]: Bad password attempt for 'root' from 220.86.128.100:57774
Wed Jan 16 14:33:17 2019 authpriv.info dropbear[17956]: Exit before auth (user 'root', 3 fails): Max auth tries reached - user 'root' from 220.86.128.100:57774
Wed Jan 16 14:35:45 2019 authpriv.info dropbear[17966]: Child connection from 200.194.15.253:42112
Wed Jan 16 14:35:47 2019 authpriv.warn dropbear[17966]: Bad password attempt for 'root' from 200.194.15.253:42112
Wed Jan 16 14:35:48 2019 authpriv.warn dropbear[17966]: Bad password attempt for 'root' from 200.194.15.253:42112
Wed Jan 16 14:35:48 2019 authpriv.warn dropbear[17966]: Bad password attempt for 'root' from 200.194.15.253:42112
Wed Jan 16 14:35:48 2019 authpriv.info dropbear[17966]: Exit before auth (user 'root', 3 fails): Max auth tries reached - user 'root' from 200.194.15.253:42112
Wed Jan 16 14:41:58 2019 daemon.info dnsmasq-dhcp[10349]: Wed Jan 16 15:03:03 2019 authpriv.info dropbear[19820]: Child connection from 115.238.245.4:39072
Wed Jan 16 15:03:08 2019 authpriv.info dropbear[19820]: Exit before auth: Disconnect received
Wed Jan 16 15:14:43 2019 authpriv.info dropbear[20440]: Child connection from 36.156.24.99:48360
Wed Jan 16 15:14:48 2019 authpriv.info dropbear[20440]: Exit before auth: Disconnect received
Wed Jan 16 15:28:26 2019 authpriv.info dropbear[21957]: Child connection from 115.238.245.2:60546
Wed Jan 16 15:28:31 2019 authpriv.info dropbear[21957]: Exit before auth: Disconnect received
Wed Jan 16 15:31:39 2019 authpriv.info dropbear[21958]: Child connection from 223.111.139.210:36470
Wed Jan 16 15:31:44 2019 authpriv.info dropbear[21958]: Exit before auth: Disconnect received
Wed Jan 16 15:35:18 2019 authpriv.info dropbear[22570]: Child connection from 103.207.37.188:58628
Wed Jan 16 15:35:18 2019 authpriv.info dropbear[22570]: Exit before auth: Exited normally
Wed Jan 16 15:35:18 2019 authpriv.info dropbear[22571]: Child connection from 103.207.37.188:58785
Wed Jan 16 15:35:21 2019 authpriv.warn dropbear[22571]: Login attempt for nonexistent user from 103.207.37.188:58785
Wed Jan 16 15:35:21 2019 authpriv.warn dropbear[22571]: Login attempt for nonexistent user from 103.207.37.188:58785
Wed Jan 16 15:35:22 2019 authpriv.info dropbear[22571]: Exit before auth: Disconnect received
Wed Jan 16 15:35:29 2019 authpriv.info dropbear[22572]: Child connection from 36.156.24.96:49612
Wed Jan 16 15:35:35 2019 authpriv.info dropbear[22572]: Exit before auth: Disconnect received
Wed Jan 16 15:44:59 2019 authpriv.info dropbear[23193]: Child connection from 122.226.181.165:44632
Wed Jan 16 15:45:04 2019 authpriv.info dropbear[23193]: Exit before auth: Disconnect received
Wed Jan 16 15:46:02 2019 authpriv.info dropbear[23194]: Child connection from 61.184.247.4:53033
Wed Jan 16 15:46:06 2019 authpriv.info dropbear[23194]: Exit before auth: Disconnect received
Wed Jan 16 15:51:12 2019 authpriv.info dropbear[23203]: Child connection from 61.184.247.6:37092
Wed Jan 16 15:51:16 2019 authpriv.info dropbear[23203]: Exit before auth: Disconnect received
Wed Jan 16 16:23:41 2019 authpriv.info dropbear[25064]: Child connection from 115.238.245.4:36615
Wed Jan 16 16:23:46 2019 authpriv.info dropbear[25064]: Exit before auth: Disconnect received
Wed Jan 16 16:24:08 2019 authpriv.info dropbear[25065]: Child connection from 123.99.77.214:54160
Wed Jan 16 16:24:11 2019 authpriv.warn dropbear[25065]: Bad password attempt for 'root' from 123.99.77.214:54160
Wed Jan 16 16:24:11 2019 authpriv.warn dropbear[25065]: Bad password attempt for 'root' from 123.99.77.214:54160
Wed Jan 16 16:24:12 2019 authpriv.warn dropbear[25065]: Bad password attempt for 'root' from 123.99.77.214:54160
Wed Jan 16 16:24:12 2019 authpriv.info dropbear[25065]: Exit before auth (user 'root', 3 fails): Max auth tries reached - user 'root' from 123.99.77.214:54160
Wed Jan 16 16:28:52 2019 authpriv.info dropbear[25677]: Child connection from 200.194.15.253:51790
Wed Jan 16 16:28:54 2019 authpriv.warn dropbear[25677]: Bad password attempt for 'root' from 200.194.15.253:51790
Wed Jan 16 16:28:54 2019 authpriv.warn dropbear[25677]: Bad password attempt for 'root' from 200.194.15.253:51790
Wed Jan 16 16:28:55 2019 authpriv.warn dropbear[25677]: Bad password attempt for 'root' from 200.194.15.253:51790
Wed Jan 16 16:28:55 2019 authpriv.info dropbear[25677]: Exit before auth (user 'root', 3 fails): Max auth tries reached - user 'root' from 200.194.15.253:51790
Wed Jan 16 16:32:09 2019 authpriv.info dropbear[25678]: Child connection from 5.228.48.162:59177
Wed Jan 16 16:32:14 2019 authpriv.warn dropbear[25678]: Bad password attempt for 'root' from 5.228.48.162:59177
Wed Jan 16 16:32:14 2019 authpriv.warn dropbear[25678]: Bad password attempt for 'root' from 5.228.48.162:59177
Wed Jan 16 16:32:15 2019 authpriv.warn dropbear[25678]: Bad password attempt for 'root' from 5.228.48.162:59177
Wed Jan 16 16:32:15 2019 authpriv.info dropbear[25678]: Exit before auth (user 'root', 3 fails): Max auth tries reached - user 'root' from 5.228.48.162:59177
Wed Jan 16 16:32:15 2019 authpriv.info dropbear[25679]: Child connection from 5.228.48.162:59187
Wed Jan 16 16:32:19 2019 authpriv.warn dropbear[25679]: Bad password attempt for 'root' from 5.228.48.162:59187
Wed Jan 16 16:32:19 2019 authpriv.warn dropbear[25679]: Bad password attempt for 'root' from 5.228.48.162:59187
Wed Jan 16 16:32:20 2019 authpriv.warn dropbear[25679]: Bad password attempt for 'root' from 5.228.48.162:59187
Wed Jan 16 16:32:20 2019 authpriv.info dropbear[25679]: Exit before auth (user 'root', 3 fails): Max auth tries reached - user 'root' from 5.228.48.162:59187
Wed Jan 16 16:32:20 2019 authpriv.info dropbear[25680]: Child connection from 5.228.48.162:59193
Wed Jan 16 16:32:24 2019 authpriv.warn dropbear[25680]: Bad password attempt for 'root' from 5.228.48.162:59193
Wed Jan 16 16:32:25 2019 authpriv.warn dropbear[25680]: Bad password attempt for 'root' from 5.228.48.162:59193
Wed Jan 16 16:32:25 2019 authpriv.warn dropbear[25680]: Bad password attempt for 'root' from 5.228.48.162:59193
Wed Jan 16 16:32:26 2019 authpriv.info dropbear[25680]: Exit before auth (user 'root', 3 fails): Max auth tries reached - user 'root' from 5.228.48.162:59193
Wed Jan 16 16:32:26 2019 authpriv.info dropbear[25682]: Child connection from 5.228.48.162:59196
Wed Jan 16 16:32:30 2019 authpriv.warn dropbear[25682]: Bad password attempt for 'root' from 5.228.48.162:59196
Wed Jan 16 16:32:30 2019 authpriv.warn dropbear[25682]: Bad password attempt for 'root' from 5.228.48.162:59196
Wed Jan 16 16:32:31 2019 authpriv.warn dropbear[25682]: Bad password attempt for 'root' from 5.228.48.162:59196
Wed Jan 16 16:32:31 2019 authpriv.info dropbear[25682]: Exit before auth (user 'root', 3 fails): Max auth tries reached - user 'root' from 5.228.48.162:59196
Wed Jan 16 16:32:31 2019 authpriv.info dropbear[25683]: Child connection from 5.228.48.162:59201
Wed Jan 16 16:32:35 2019 authpriv.warn dropbear[25683]: Bad password attempt for 'root' from 5.228.48.162:59201
Wed Jan 16 16:32:35 2019 authpriv.warn dropbear[25683]: Bad password attempt for 'root' from 5.228.48.162:59201
Wed Jan 16 16:32:36 2019 authpriv.warn dropbear[25683]: Bad password attempt for 'root' from 5.228.48.162:59201
Wed Jan 16 16:32:36 2019 authpriv.info dropbear[25683]: Exit before auth (user 'root', 3 fails): Max auth tries reached - user 'root' from 5.228.48.162:59201
Wed Jan 16 16:32:36 2019 authpriv.info dropbear[25684]: Child connection from 5.228.48.162:59206
Wed Jan 16 16:32:40 2019 authpriv.warn dropbear[25684]: Bad password attempt for 'root' from 5.228.48.162:59206
Wed Jan 16 16:32:41 2019 authpriv.info dropbear[25685]: Child connection from 5.228.48.162:59210
Wed Jan 16 16:32:41 2019 authpriv.info dropbear[25684]: Exit before auth (user 'root', 1 fails): Disconnect received
Wed Jan 16 16:32:46 2019 authpriv.warn dropbear[25685]: Login attempt for nonexistent user from 5.228.48.162:59210
Wed Jan 16 16:32:46 2019 authpriv.warn dropbear[25685]: Login attempt for nonexistent user from 5.228.48.162:59210
Wed Jan 16 16:32:46 2019 authpriv.warn dropbear[25685]: Login attempt for nonexistent user from 5.228.48.162:59210
Wed Jan 16 16:32:47 2019 authpriv.info dropbear[25685]: Exit before auth: Max auth tries reached - user 'is invalid' from 5.228.48.162:59210
Wed Jan 16 16:32:47 2019 authpriv.info dropbear[25686]: Child connection from 5.228.48.162:59216
Wed Jan 16 16:32:52 2019 authpriv.warn dropbear[25686]: Login attempt for nonexistent user from 5.228.48.162:59216
Wed Jan 16 16:32:52 2019 authpriv.warn dropbear[25686]: Login attempt for nonexistent user from 5.228.48.162:59216
Wed Jan 16 16:32:52 2019 authpriv.warn dropbear[25686]: Login attempt for nonexistent user from 5.228.48.162:59216
Wed Jan 16 16:32:53 2019 authpriv.info dropbear[25686]: Exit before auth: Max auth tries reached - user 'is invalid' from 5.228.48.162:59216
Wed Jan 16 16:32:53 2019 authpriv.info dropbear[25687]: Child connection from 5.228.48.162:59219
Wed Jan 16 16:32:58 2019 authpriv.warn dropbear[25687]: Login attempt for nonexistent user from 5.228.48.162:59219
Wed Jan 16 16:32:58 2019 authpriv.warn dropbear[25687]: Login attempt for nonexistent user from 5.228.48.162:59219
Wed Jan 16 16:32:58 2019 authpriv.warn dropbear[25687]: Login attempt for nonexistent user from 5.228.48.162:59219
Wed Jan 16 16:32:59 2019 authpriv.info dropbear[25687]: Exit before auth: Max auth tries reached - user 'is invalid' from 5.228.48.162:59219
Wed Jan 16 16:32:59 2019 authpriv.info dropbear[25688]: Child connection from 5.228.48.162:59225
Wed Jan 16 16:33:03 2019 authpriv.warn dropbear[25688]: Login attempt for nonexistent user from 5.228.48.162:59225
Wed Jan 16 16:33:04 2019 authpriv.warn dropbear[25688]: Login attempt for nonexistent user from 5.228.48.162:59225
Wed Jan 16 16:33:04 2019 authpriv.warn dropbear[25688]: Login attempt for nonexistent user from 5.228.48.162:59225
Wed Jan 16 16:33:04 2019 authpriv.info dropbear[25688]: Exit before auth: Max auth tries reached - user 'is invalid' from 5.228.48.162:59225
Wed Jan 16 16:33:04 2019 authpriv.info dropbear[25689]: Child connection from 5.228.48.162:59227
Wed Jan 16 16:33:11 2019 authpriv.warn dropbear[25689]: Login attempt for nonexistent user from 5.228.48.162:59227
Wed Jan 16 16:33:11 2019 authpriv.warn dropbear[25689]: Login attempt for nonexistent user from 5.228.48.162:59227
Wed Jan 16 16:33:11 2019 authpriv.info dropbear[25689]: Exit before auth: Disconnect received
Wed Jan 16 16:33:11 2019 authpriv.info dropbear[25690]: Child connection from 5.228.48.162:59233
Wed Jan 16 16:33:17 2019 authpriv.warn dropbear[25690]: Login attempt for nonexistent user from 5.228.48.162:59233
Wed Jan 16 16:33:18 2019 authpriv.info dropbear[25690]: Exit before auth: Disconnect received
Wed Jan 16 16:33:18 2019 authpriv.info dropbear[25691]: Child connection from 5.228.48.162:59236
Wed Jan 16 16:33:23 2019 authpriv.warn dropbear[25691]: Login attempt for nonexistent user from 5.228.48.162:59236
Wed Jan 16 16:33:24 2019 authpriv.info dropbear[25691]: Exit before auth: Disconnect received
Wed Jan 16 16:33:24 2019 authpriv.info dropbear[25692]: Child connection from 5.228.48.162:59241
Wed Jan 16 16:33:29 2019 authpriv.warn dropbear[25692]: Login attempt for nonexistent user from 5.228.48.162:59241
Wed Jan 16 16:33:29 2019 authpriv.info dropbear[25692]: Exit before auth: Disconnect received
Wed Jan 16 16:33:29 2019 authpriv.info dropbear[25693]: Child connection from 5.228.48.162:59246
Wed Jan 16 16:33:33 2019 authpriv.warn dropbear[25693]: Login attempt for nonexistent user from 5.228.48.162:59246
Wed Jan 16 16:33:34 2019 authpriv.info dropbear[25693]: Exit before auth: Disconnect received
Wed Jan 16 16:33:34 2019 authpriv.info dropbear[25694]: Child connection from 5.228.48.162:59250
Wed Jan 16 16:33:38 2019 authpriv.warn dropbear[25694]: Login attempt for nonexistent user from 5.228.48.162:59250
Wed Jan 16 16:33:38 2019 authpriv.info dropbear[25694]: Exit before auth: Disconnect received
Wed Jan 16 16:56:59 2019 authpriv.info dropbear[27555]: Child connection from 115.238.245.2:39570
Wed Jan 16 16:57:04 2019 authpriv.info dropbear[27555]: Exit before auth: Disconnect received
Wed Jan 16 16:58:37 2019 authpriv.info dropbear[27556]: Child connection from 198.50.194.236:59551
Wed Jan 16 16:58:37 2019 authpriv.info dropbear[27556]: Exit before auth: Disconnect received
Wed Jan 16 16:58:37 2019 authpriv.info dropbear[27557]: Child connection from 198.50.194.236:59667
Wed Jan 16 16:58:38 2019 authpriv.info dropbear[27557]: Exit before auth: Disconnect received
Wed Jan 16 16:58:38 2019 authpriv.info dropbear[27558]: Child connection from 198.50.194.236:59797
Wed Jan 16 16:58:38 2019 authpriv.info dropbear[27558]: Exit before auth: Disconnect received
Wed Jan 16 16:58:38 2019 authpriv.info dropbear[27559]: Child connection from 198.50.194.236:59912
Wed Jan 16 16:58:38 2019 authpriv.info dropbear[27559]: Exit before auth: Disconnect received
Wed Jan 16 17:14:02 2019 authpriv.info dropbear[28190]: Child connection from 218.92.1.147:37255
Wed Jan 16 17:14:07 2019 authpriv.info dropbear[28190]: Exit before auth: Disconnect received
Wed Jan 16 17:28:28 2019 authpriv.info dropbear[29424]: Child connection from 223.111.139.211:42442
Wed Jan 16 17:28:33 2019 authpriv.info dropbear[29424]: Exit before auth: Disconnect received
Wed Jan 16 17:41:34 2019 authpriv.info dropbear[30053]: Child connection from 210.48.139.158:61000
Wed Jan 16 17:41:34 2019 authpriv.info dropbear[30053]: Exit before auth: Exited normally
Wed Jan 16 17:48:32 2019 authpriv.info dropbear[30665]: Child connection from 223.111.139.244:36362
Wed Jan 16 17:48:37 2019 authpriv.info dropbear[30665]: Exit before auth: Disconnect received
Wed Jan 16 17:52:40 2019 authpriv.info dropbear[30674]: Child connection from 122.226.181.164:48218
Wed Jan 16 17:52:44 2019 authpriv.info dropbear[30674]: Exit before auth: Disconnect received
Wed Jan 16 18:06:52 2019 authpriv.info dropbear[31906]: Child connection from 118.194.132.112:57295
Wed Jan 16 18:06:53 2019 authpriv.info dropbear[31906]: Exit before auth: Exited normally
Wed Jan 16 18:14:18 2019 authpriv.info dropbear[31916]: Child connection from 122.226.181.167:59648
Wed Jan 16 18:14:22 2019 authpriv.info dropbear[31916]: Exit before auth: Disconnect received
Wed Jan 16 18:15:48 2019 authpriv.info dropbear[32528]: Child connection from 125.65.42.192:57298
Wed Jan 16 18:15:51 2019 authpriv.info dropbear[32528]: Exit before auth: Disconnect received
Wed Jan 16 18:15:54 2019 authpriv.info dropbear[32530]: Child connection from 61.184.247.3:53838
Wed Jan 16 18:15:59 2019 authpriv.info dropbear[32530]: Exit before auth: Disconnect received
Wed Jan 16 18:44:27 2019 authpriv.info dropbear[1322]: Child connection from 171.224.189.76:59672
Wed Jan 16 18:44:31 2019 authpriv.warn dropbear[1322]: Login attempt for nonexistent user from 171.224.189.76:59672
Wed Jan 16 18:44:32 2019 authpriv.info dropbear[1322]: Exit before auth: Exited normally
Wed Jan 16 18:56:36 2019 authpriv.info dropbear[2565]: Child connection from 223.111.139.211:40982
Wed Jan 16 18:56:40 2019 authpriv.info dropbear[2565]: Exit before auth: Disconnect received
Wed Jan 16 18:59:43 2019 authpriv.info dropbear[2574]: Child connection from 36.156.24.97:54060
Wed Jan 16 18:59:47 2019 authpriv.info dropbear[2574]: Exit before auth: Disconnect received
Wed Jan 16 19:09:17 2019 authpriv.info dropbear[3194]: Child connection from 36.111.139.7:58478
Wed Jan 16 19:09:21 2019 authpriv.warn dropbear[3194]: Bad password attempt for 'root' from 36.111.139.7:58478
Wed Jan 16 19:09:21 2019 authpriv.warn dropbear[3194]: Client trying multiple usernames from 36.111.139.7:58478
Wed Jan 16 19:09:21 2019 authpriv.warn dropbear[3194]: Login attempt for nonexistent user from 36.111.139.7:58478
Wed Jan 16 19:09:22 2019 authpriv.warn dropbear[3194]: Login attempt for nonexistent user from 36.111.139.7:58478
Wed Jan 16 19:09:22 2019 authpriv.warn dropbear[3194]: Client trying multiple usernames from 36.111.139.7:58478
Wed Jan 16 19:09:22 2019 authpriv.warn dropbear[3194]: Login attempt for nonexistent user from 36.111.139.7:58478
Wed Jan 16 19:09:22 2019 authpriv.warn dropbear[3194]: Login attempt for nonexistent user from 36.111.139.7:58478
Wed Jan 16 19:09:23 2019 authpriv.warn dropbear[3194]: Client trying multiple usernames from 36.111.139.7:58478
Wed Jan 16 19:09:23 2019 authpriv.warn dropbear[3194]: Bad password attempt for 'root' from 36.111.139.7:58478
Wed Jan 16 19:09:24 2019 authpriv.warn dropbear[3194]: Bad password attempt for 'root' from 36.111.139.7:58478
Wed Jan 16 19:09:24 2019 authpriv.warn dropbear[3194]: Bad password attempt for 'root' from 36.111.139.7:58478
Wed Jan 16 19:09:25 2019 authpriv.info dropbear[3194]: Exit before auth (user 'root', 3 fails): Max auth tries reached - user 'root' from 36.111.139.7:58478
Wed Jan 16 19:12:52 2019 authpriv.info dropbear[3195]: Child connection from 122.226.181.166:44786
Wed Jan 16 19:13:00 2019 authpriv.info dropbear[3195]: Exit before auth: Disconnect received
Skanowanie telnetu to zaszłość historyczna. Szukają starych systemów które notabene często są w sieciach administracji publiczne, uczelni, banków oraz urządzanie embedded, ILO , IPMI . Widać że dużo tych botów jest z Chin, Ukrainy, Rosji zbieraj dane o hostach, otwarte porty, wersje rodzaj oprogramowania potem exploid i witaj w botnecie.
Co do baz to jest to taka sama usługa jak reszta, niema nic dziwnego w udostępnianiu ich, musi tylko mieć mechanizmy autoryzacji i szyfrowania to drugie robi się często przez tunele.
Podłączyłem na próbę modem airbox orange. Tam praktycznie nie ma żadnych ustawień (nawet ukryć sieci nie można). Czy takie routery "modemiki" to jedno z najgorszych możlowych rozwiązań dla raczej średnio zaawansowanego użytkownika ?
W jaki sposób taki użytkownik może zwiększyć bezpieczeństwo swojej sieci? Istnieją jakieś podstawowe zasady i wytyczne.
Nie uczą tego w szkołach (przynajmniej nie uczyli)
Włączyć wszystkie możliwe zabezpieczenia. Wyłączyć wszystkie zbędne usługi. Zmienić hasło administratora i dostęp do urządzenia od strony WAN. Robisz wszystko co w Twojej mocy i na co pozwolił Ci producent urządzenia i jego dostawca.
Jeśli masz sieć komórkową to domyślnie nawet nie masz publicznego IP więc Cię to nie dotyczy. Jeśli takowe uzyskasz to jak długo wszystko siedzi za NATem to nic się nie zmienia. Zasady bezpieczeństwa? Im mniej rzeczy wystawionych do internetu tym lepiej, wiadomo że np. serwer http z jakąś stroną musi być w internecie ale do innych rzeczy warto uzyskiwać dostęp przez łączenie do serwera VPN (wtedy tylko ten serwer jest wystawiony w internet), na pewno nie należy wpisywać bez potrzeby urządzeń w DMZ. Poza tym ustawianie mocnych haseł oraz pilnowanie takich rzeczy jak UPnP.
Jeśli masz sieć komórkową to domyślnie nawet nie masz publicznego IP więc Cię to nie dotyczy.
Pozwolę się nie zgodzić wystarczy wpisać w telefonie mojeip żeby sprawdzić w virgin (Play) adres jest publiczny przydzielany dynamicznie jest tak w większości sieci.
Zabezpieczyć można się za pomoc firewalla z domyślną polityką deny all i świadome otwieranie portów z usługami jest to uciążliwe i nie stosowane w desktopach pomocna jest analiza ruchu za pomocą IDS np. snort. Istnieje podejrzenie że w większości systemów zamkniętych i nie tylko, są backdoor dla służb wywiadowczych obejmuje to również telefony, tak że to jest walka z wiatrakami o zachowanie poufności danych.
Jeśli masz sieć komórkową to domyślnie nawet nie masz publicznego IP więc Cię to nie dotyczy.
Pozwolę się nie zgodzić wystarczy wpisać w telefonie mojeip żeby sprawdzić w virgin (Play) adres jest publiczny przydzielany dynamicznie jest tak w większości sieci.
Źle sprawdzasz! Jeśli nie masz routera sprawdź jakie IP ma modem/karta sieciowa:
Możesz użyć traceroute aby zobaczyć jak wychodzi ruch. Przykładowo:
niby mam publiczne IP na komputerze? Nie:
Co jeszcze widzisz ciekawego w mojej lokalnej sieci?
W pracy mam komputer z Windows 7 na publicznym IP. Aktualnie w logu jest zablokowanych ponad 68000 połączeń do RDP.
Gdy serwer ftp miałem na standardowym porcie, leciały słownikowe próby włamu
Do testu chyba najlepiej akceptować wszystkie połączenia przychodzące, bo duża jest różnica w niechcianym ruchu między portem gdzie z miejsca połączenie jest odrzucane, a takim gdzie coś nasłuchuje. Kiedyś w firmie z ciekawości jeden z nieużywanych IP przełączyłem na kompa ze skryptem akceptującym wszystko jak leci i na UTMie transparentnie włączyłem analizę ruchu między Internetem a tym komputerem, żeby zobaczyć m.in. jakie exploity będą latać - zaczęło się spokojnie ale ruch narastał dość szybko, najwięcej exploitów było o ile pamiętam na porcie 80 - część na same serwery, część z automatu waląca requesty próbkujące istnienie różnych stron na danym serwerze (wordpress, phpmyadmin, drupal itp). Po paru dniach eksperyment zakończyłem bo ruch wzmógł się na tyle, że zacząłem się obawiać czy ISP nie przyśle do nas jakiejś notki
Prób logowania u mnie najwięcej było na porcie 25, drugie tyle to były próby od razu wysyłania czegoś na pałę (licząc że to SMTP bez autoryzacji).
Trzeba też brać poprawkę na to, że niektóre porty mogą być wycięte już u dostawcy netu - często się zdarza że w niektórych sieciach np. SMB nie przejdzie (i w sumie dobrze).
Za "Gó....oBoxem" musiałem postawić router. To badziewie nadaje się dla zwykłego Kowalskiego ale jak chce się postawić kilka serwerów, choćby do prób, to już nie. Orange "zmusza" to używania ich wynalazku, który nie może pracować jako PPPoE (modem UPS też nie) więc trzeba zrobić DMZ. Nie rozwiązuje to jednego problemu (w przypadku Orange, bo w UPS tak) ale lepsze to niż nic. Na razie, dopóki nie znajdę innego operatora albo usługi w Orange za rozsądną kasę, musi tak zostać.
co to jest to DMZ ? "ja niczego nie wpisywałem --'
makosuu napisał:
łączenie do serwera VPN
dobra zakładająć że vpn ogarnia brak tzw leaków-dns (czyli strona rzeczywiście widzi tylko adres vpn-a) to na ile to rozwiązanie jest skuteczne kontra operator ?
czy taki operator widzi rzeczywiście tylko adres serwera z którymi się łaczymy czy jednak nie jest tak kolorowo i są narzędzia ku temu by to złamać?
makosuu napisał:
pilnowanie takich rzeczy jak UPnP
tzn ?
hedo77 napisał:
pomoc firewalla z domyślną polityką deny all
domyślny windowsa nie ma takiej polityki?
a co z linuxem?
hedo77 napisał:
Istnieje podejrzenie że w większości systemów zamkniętych i nie tylko, są backdoor dla służb
ta jak ta afera z "ukrytymi" systemami w procesorach intela ? swoją drogą ciekawe od jakiej generacji urządzeń możemy już raczej na pewno nie czuć się bezpieczni.
Jak myślicie? Wszystko co było przez LGA775 a może jeszcze później ?
jarrod napisał:
Aktualnie w logu jest zablokowanych ponad 68000 połączeń do RDP
RDP ?
LChucki napisał:
który nie może pracować jako PPPoE (modem UPS też nie) więc trzeba zrobić DMZ
obra zakładająć że vpn ogarnia brak tzw leaków-dns (czyli strona rzeczywiście widzi tylko adres vpn-a) to na ile to rozwiązanie jest skuteczne kontra operator ?
czy taki operator widzi rzeczywiście tylko adres serwera z którymi się łaczymy czy jednak nie jest tak kolorowo i są narzędzia ku temu by to złamać?
Mam na myśli dostęp do sieci lokalnej przez VPN, nic nie pisałem na temat ukrywania się przed ISP.
shac0 napisał:
tzn ?
UPnP to taki mechanizm który automatycznie robi przekierowania, czego użytkownik niekoniecznie musi być świadomy. Chyba dalej nie trzeba tłumaczyć że może zadziałać w niekoniecznie dobry sposób.