elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Como proteger una cartera - billetera de Bitcoin


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  en serio, me están hackeando... XD
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: en serio, me están hackeando... XD  (Leído 6,638 veces)
risto

Desconectado Desconectado

Mensajes: 31


Cosas pequeñas que hacen cosas grandes


Ver Perfil
en serio, me están hackeando... XD
« en: 5 Enero 2012, 20:04 pm »

Os cuento, estaba yo con un colega y me preguntó por como mirar los logs en linux para saber si te han entrado en la pc, y le digo, pues tienes que filtrarlos con el grep, y al mostrarselo... me quedé a rayas, os dejo unas partes del /var/log/auth.log de mi servidor:

Primero diré que el servidor no es mas que un portátil viejo que sirve ssh, LAMP, y bueno todo tipo, ya que estudio informática y pues siempre hago mis pruebas(de ahí que tenga tantos fallos de seguridad XD). Los puertos están redireccionados desde el router al pc, así accediendo al ssh de mi ip pública accederíamos al servidor ssh de mi portátil.
Comando utilizado para ver los logs: cat /var/log/auth.log | grep from

Estas són las últimas lineas que tengo, y el que ha accedido he sido yo localmente como se puede ver pero esa ip(46.72.53.180) os aseguro que no he sido yo:
Código:
Jan  5 18:02:53 dani-Aspire-5720 sshd[21367]: Failed password for root from 46.72.53.180 port 38572 ssh2
Jan  5 18:03:00 dani-Aspire-5720 sshd[21369]: Failed password for root from 46.72.53.180 port 38893 ssh2
Jan  5 18:03:09 dani-Aspire-5720 sshd[21371]: Failed password for root from 46.72.53.180 port 39195 ssh2
Jan  5 18:03:17 dani-Aspire-5720 sshd[21378]: Failed password for root from 46.72.53.180 port 39521 ssh2
Jan  5 18:03:25 dani-Aspire-5720 sshd[21380]: Failed password for root from 46.72.53.180 port 39863 ssh2
Jan  5 18:03:33 dani-Aspire-5720 sshd[21382]: Failed password for root from 46.72.53.180 port 40187 ssh2
Jan  5 18:03:42 dani-Aspire-5720 sshd[21384]: Failed password for root from 46.72.53.180 port 40508 ssh2
Jan  5 18:03:50 dani-Aspire-5720 sshd[21386]: Failed password for root from 46.72.53.180 port 40850 ssh2
Jan  5 18:03:58 dani-Aspire-5720 sshd[21388]: Failed password for root from 46.72.53.180 port 41198 ssh2
Jan  5 18:04:06 dani-Aspire-5720 sshd[21390]: Failed password for root from 46.72.53.180 port 41545 ssh2
Jan  5 18:04:15 dani-Aspire-5720 sshd[21397]: Failed password for root from 46.72.53.180 port 41935 ssh2
Jan  5 18:04:22 dani-Aspire-5720 sshd[21399]: Failed password for root from 46.72.53.180 port 42381 ssh2
Jan  5 18:04:31 dani-Aspire-5720 sshd[21401]: Failed password for root from 46.72.53.180 port 42822 ssh2
Jan  5 18:58:34 dani-Aspire-5720 sshd[21720]: Failed password for dani from 192.168.0.69 port 34017 ssh2
Jan  5 18:58:37 dani-Aspire-5720 sshd[21720]: Accepted password for dani from 192.168.0.69 port 34017 ssh2
Jan  5 19:01:07 dani-Aspire-5720 sshd[21907]: Received disconnect from 192.168.0.69: 11: disconnected by user
Jan  5 19:01:21 dani-Aspire-5720 sshd[22060]: Accepted password for root from 192.168.0.69 port 34018 ssh2

Aqui las primeras veces que me atacaba XDXDXD es patético, 1 mes, dia a dia intentando entrar en mi pc :
Código:
Dec  7 16:07:44 dani-Aspire-5720 sshd[21465]: Failed password for invalid user motorola from 189.111.206.136 port 38218 ssh2
Dec  7 16:07:47 dani-Aspire-5720 sshd[21467]: Invalid user motorola from 189.111.206.136
Dec  7 16:07:49 dani-Aspire-5720 sshd[21467]: Failed password for invalid user motorola from 189.111.206.136 port 39840 ssh2
Dec  7 16:07:52 dani-Aspire-5720 sshd[21469]: Invalid user aaron from 189.111.206.136
Dec  7 16:07:55 dani-Aspire-5720 sshd[21469]: Failed password for invalid user aaron from 189.111.206.136 port 40665 ssh2
Dec  7 16:07:57 dani-Aspire-5720 sshd[21471]: Invalid user abacus from 189.111.206.136
Dec  7 16:08:00 dani-Aspire-5720 sshd[21471]: Failed password for invalid user abacus from 189.111.206.136 port 41522 ssh2
Dec  7 16:08:03 dani-Aspire-5720 sshd[21473]: Invalid user abby from 189.111.206.136
Dec  7 16:08:05 dani-Aspire-5720 sshd[21473]: Failed password for invalid user abby from 189.111.206.136 port 43076 ssh2
Dec  7 16:08:08 dani-Aspire-5720 sshd[21475]: Invalid user abbycheng from 189.111.206.136
Dec  7 16:08:11 dani-Aspire-5720 sshd[21475]: Failed password for invalid user abbycheng from 189.111.206.136 port 43900 ssh2
Dec  7 16:08:13 dani-Aspire-5720 sshd[21477]: Invalid user abc from 189.111.206.136
Dec  7 16:08:16 dani-Aspire-5720 sshd[21477]: Failed password for invalid user abc from 189.111.206.136 port 44766 ssh2
Dec  7 16:08:19 dani-Aspire-5720 sshd[21479]: Invalid user abe from 189.111.206.136
Dec  7 16:08:20 dani-Aspire-5720 sshd[21479]: Failed password for invalid user abe from 189.111.206.136 port 46317 ssh2
Dec  7 16:08:23 dani-Aspire-5720 sshd[21481]: Invalid user abhinav from 189.111.206.136
Dec  7 16:08:26 dani-Aspire-5720 sshd[21481]: Failed password for invalid user abhinav from 189.111.206.136 port 47146 ssh2
Dec  7 16:08:29 dani-Aspire-5720 sshd[21483]: Invalid user abhinavgalav from 189.111.206.136

Parece que finalmente le pilló el truco y solo probaba con usuario root(si, lo tengo abierto  ;-)) pero sin mucho éxito, también vemos que cada día utiliza una ip diferente:
Código:
Jan  2 16:52:50 dani-Aspire-5720 sshd[25038]: Failed password for root from 174.139.74.114 port 45498 ssh2
Jan  2 16:52:54 dani-Aspire-5720 sshd[25040]: Failed password for root from 174.139.74.114 port 45814 ssh2
Jan  2 16:52:58 dani-Aspire-5720 sshd[25042]: Failed password for root from 174.139.74.114 port 46154 ssh2
Jan  2 16:53:02 dani-Aspire-5720 sshd[25044]: Failed password for root from 174.139.74.114 port 46523 ssh2

Jan  3 00:40:50 dani-Aspire-5720 sshd[27786]: Failed password for root from 182.48.42.63 port 48164 ssh2
Jan  3 00:40:56 dani-Aspire-5720 sshd[27788]: Failed password for root from 182.48.42.63 port 48519 ssh2
Jan  3 00:41:01 dani-Aspire-5720 sshd[27790]: Failed password for root from 182.48.42.63 port 48893 ssh2
Jan  3 00:41:05 dani-Aspire-5720 sshd[27797]: Failed password for root from 182.48.42.63 port 49261 ssh2
Jan  3 00:41:09 dani-Aspire-5720 sshd[27799]: Failed password for root from 182.48.42.63 port 49614 ssh2
Jan  3 00:41:15 dani-Aspire-5720 sshd[27801]: Failed password for root from 182.48.42.63 port 49946 ssh2

Alguna vez me sale esto (he cogido tres lineas aleatorias) que indica que está usando proxy, realmente esto esto es lo que mas me sorprende de este lammer, que use un proxy:
Código:
an  2 10:39:36 dani-Aspire-5720 sshd[22808]: Bad protocol version identification 'GET http://www.hardjob.net/proxyheader.php HTTP/1.1' from 58.218.199.147
Jan  1 11:10:12 dani-Aspire-5720 sshd[14300]: Bad protocol version identification 'GET http://financeande.com/feed/feed.php HTTP/1.1' from 58.218.199.147
Dec 11 00:25:44 dani-Aspire-5720 sshd[31775]: Bad protocol version identification 'GET http://www.travelimgusa.com/ip.php HTTP/1.1' from 58.218.199.147

Supongo que hace falta decir que tengo miles de lineas como estas, desde el día 7 de diciembre hasta hoy día 5 de enero. El muy lammer lleva un mes atacandome y aún no ha entrado.

Ya está, yo me he echado unas risas, además os contaré un secreto, la contraseña de root era root  ;-) patético tanto para mí como para él.
En línea

x3r0x

Desconectado Desconectado

Mensajes: 36


VENI,VIDI,VICI.


Ver Perfil
Re: en serio, me están hackeando... XD
« Respuesta #1 en: 7 Enero 2012, 01:50 am »

si tienes su ip, juega con el un poco ehhh?? después de todo es un lammer que no sabe ni el pass del root! xD yo lo bombardiaria! o amenos investigaría quien es y de donde es.. denunciarlo talves por intentos de dano a propiedad privada! xD fijo con un amigo al lado diciendole que es gran hacker y que  estaba hacinado los servidores de la nasa... Porque habra gente asi en este mundo? xD
En línea

"Lo supremo en el arte de la guerra es someter al enemigo sin darle batalla." Sun Tzu
manute_powa

Desconectado Desconectado

Mensajes: 87


Ver Perfil
Re: en serio, me están hackeando... XD
« Respuesta #2 en: 7 Enero 2012, 02:03 am »

jajajja

K lammer....

Yo no es que sea un experto pero que cab....n..

No se que querrá consequir intentando joder al personal..

Saludos
En línea

OLM

Desconectado Desconectado

Mensajes: 188


No hay justicia si la guerra está justificada.


Ver Perfil WWW
Re: en serio, me están hackeando... XD
« Respuesta #3 en: 9 Enero 2012, 16:30 pm »

¿La contraseña la cambiaste a root? ¿o tal vez era toor?

Un Saludo.
En línea

Nunca consideres el estudio como una obligación, sino como una oportunidad para adentrarse en el maravilloso mundo del saber.
Kawahal

Desconectado Desconectado

Mensajes: 49



Ver Perfil WWW
Re: en serio, me están hackeando... XD
« Respuesta #4 en: 9 Enero 2012, 17:38 pm »

Noobs, noobs everywhere.
En línea

:D:D

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.641


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: en serio, me están hackeando... XD
« Respuesta #5 en: 9 Enero 2012, 18:04 pm »

Deben ser ataques automatizados por fuerza bruta al ssh, nada por lo que preocuparte. Si vieras el log del servidor del foro  :¬¬ :xD :laugh:
En línea

kub0x
Enlightenment Seeker
Colaborador
***
Desconectado Desconectado

Mensajes: 1.486


S3C M4NI4C


Ver Perfil
Re: en serio, me están hackeando... XD
« Respuesta #6 en: 10 Enero 2012, 13:45 pm »


Ya está, yo me he echado unas risas, además os contaré un secreto, la contraseña de root era root  ;-) patético tanto para mí como para él.


:D :D :D :D Antes de usar fuerza bruta hay que utilizar la cabeza, la virgen.... jajajajajaja
En línea

Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate

risto

Desconectado Desconectado

Mensajes: 31


Cosas pequeñas que hacen cosas grandes


Ver Perfil
Re: en serio, me están hackeando... XD
« Respuesta #7 en: 10 Enero 2012, 19:31 pm »

¿La contraseña la cambiaste a root? ¿o tal vez era toor?

Un Saludo.
La contraseña ERA root. Por supuesto la cambié después de ver el log.

Deben ser ataques automatizados por fuerza bruta al ssh, nada por lo que preocuparte. Si vieras el log del servidor del foro  :¬¬ :xD :laugh:
Por supuesto, no me preocupa para nada... eso sí, me ha hecho cambiar la pass.

ahmmmm, un apunte más:
Código:
dani@dani-Aspire-5720:~/Escritorio/logs$ sudo cat * |grep -c from 
[sudo] password for dani:
80946
Son muchos intentos....



En línea

H1tchclock

Desconectado Desconectado

Mensajes: 270


Binario, Dialéctico e inmerso en la Lógica de 3


Ver Perfil WWW
Re: en serio, me están hackeando... XD
« Respuesta #8 en: 14 Enero 2012, 18:34 pm »

A esto lo llamaría el incansable camino hacia la nada pero cerca de algo.... ::)

En línea

Mi inteligencia es proporcional al tiempo que invierto en internet
risto

Desconectado Desconectado

Mensajes: 31


Cosas pequeñas que hacen cosas grandes


Ver Perfil
Re: en serio, me están hackeando... XD
« Respuesta #9 en: 18 Enero 2012, 12:54 pm »

Creéis que esto relantiza mi conexión o que me pueda hacer un DoS? Es que no se, la verdad me gustaría dejarlo ahí intentando sacar la password hasta que se canse, porque os aseguro que no la sacará... Pero esque es eso, que no se hasta que punto afecta este ataque a mi ordenador. Dadme algun consejo.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Como saber si me estan hackeando
Seguridad
sacus 2 12,557 Último mensaje 29 Marzo 2011, 00:22 am
por Vjuan_
hay alguan forma de saber que estan hackeando mi wifi
Hacking Wireless
djlars 9 6,418 Último mensaje 12 Diciembre 2013, 22:19 pm
por sanson
Me estan hackeando!!!!
Hacking
Hamoru-san 1 2,371 Último mensaje 21 Febrero 2015, 11:32 am
por mester
Siento que me estan hackeando la pc
Seguridad
Andrea120205 2 2,870 Último mensaje 21 Diciembre 2015, 21:57 pm
por _TTFH_3500
Están hackeando televisores y dispositivos con Chromecast alrededor del mundo...
Noticias
wolfbcn 0 1,286 Último mensaje 2 Enero 2019, 21:40 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines