[Erlug] Mi hanno bucato?Aiutoooooo

Giovanni Caruso <pecico@xxxxxxxxx> · Wed, 26 Mar 2003 10:22:23 -0500

Ciao a tutti,
premmetto che queste sono le mie prime esperienze in ambiti di reti e mi
sto occupando di un sistema linux come "esperimento" all'interno di una
rete fatta solo di macchine win e mac.
Questa macchina (RH 8.0 Kernel 2,4,18) era stata lasciata con xinetd e
altri servizi (wu-ftpd, httpd-apache,sshd etc.) attivi + ipchains.
Oggi (dopo circa due settimane dall'ultima volta che l'avevo lasciata
accesa) mi sono ritrovato la macchina completamente sovraccarica.
Ho fatto un reboot perchè non riuscivo ad accedere alle console
(altrimenti avrei cercato di dare un'occhiata più approfondita) ed ho
spento un pò di servizi.
Sono andato a vedere i log e ho scoperto guardando /var/log/secure le
seguenti linee che non mi sono chiare:

Mar 16 09:57:20 localhost xinetd[667]: START: ftp pid=13871
from=213.216.75.54
Mar 16 09:57:22 localhost xinetd[667]: EXIT: ftp pid=13871
duration=2(sec)
Mar 16 09:57:24 localhost xinetd[667]: START: ftp pid=13872
from=213.216.75.54
Mar 16 09:57:24 localhost xinetd[667]: EXIT: ftp pid=13872
duration=0(sec)
Mar 16 09:57:32 localhost xinetd[667]: START: ftp pid=13873
from=213.216.75.54
Mar 16 09:57:32 localhost xinetd[667]: EXIT: ftp pid=13873
duration=0(sec)
Mar 16 09:57:45 localhost xinetd[667]: START: ftp pid=13874
from=213.216.75.54
Mar 16 09:57:45 localhost xinetd[667]: EXIT: ftp pid=13874
duration=0(sec)
Mar 16 09:58:11 localhost xinetd[667]: START: ftp pid=13875
from=213.216.75.54
Mar 16 09:58:11 localhost xinetd[667]: EXIT: ftp pid=13875
duration=0(sec)
Mar 16 09:58:59 localhost xinetd[667]: START: ftp pid=13876
from=213.216.75.54
Mar 16 09:58:59 localhost xinetd[667]: EXIT: ftp pid=13876
duration=0(sec)

### Sbaglio oppure l'indirizzo 213.216.75.54 ha tentato l'accesso via
ftp al sistema?”####

Mar 18 03:46:30 localhost xinetd[667]: START: ftp pid=13967
from=139.130.80.124
Mar 18 03:53:18 localhost xinetd[667]: EXIT: ftp pid=13967
duration=408(sec)
Mar 18 17:21:41 localhost sshd[13976]: Did not receive identification
string from 133.1.132.228
Mar 18 17:28:50 localhost sshd[13977]: Did not receive identification
string from 133.1.132.228

### era un tentativo di accesso tramite ssh al sostema da 133.ecc? ”####
”###sto tentando di pingare questo ip ma niente....non c'è”###

”#poi seguono questi tentativi dall'esterno....”#
Mar 21 23:34:31 localhost xinetd[667]: START: ftp pid=14030
from=212.160.28.86
Mar 21 23:34:37 localhost xinetd[667]: START: ftp pid=14031
from=212.160.28.86
Mar 21 23:34:38 localhost xinetd[667]: EXIT: ftp pid=14030
duration=7(sec)
Mar 21 23:49:38 localhost xinetd[667]: EXIT: ftp pid=14031
duration=901(sec)

#consideriamo che nessuno lavora su questo pc o in questo ambiente a
quest'ora....e cmq dovrebbe avere un ip "interno"...901 sec (cioè 15
minuti) sono troppi....

Mar 22 05:08:37 localhost xinetd[667]: START: ftp pid=14051
from=67.104.141.194

”###Questo mi sembra un ip di wind

Mar 22 05:08:38 localhost xinetd[667]: EXIT: ftp pid=14051
duration=1(sec)
Mar 22 05:08:40 localhost xinetd[667]: START: ftp pid=14052
from=67.104.141.194
Mar 22 05:08:41 localhost xinetd[667]: EXIT: ftp pid=14052
duration=1(sec)
Mar 22 05:08:46 localhost xinetd[667]: START: ftp pid=14053
from=67.104.141.194
Mar 22 05:08:47 localhost xinetd[667]: EXIT: ftp pid=14053
duration=1(sec)
Mar 22 05:09:00 localhost xinetd[667]: START: ftp pid=14054
from=67.104.141.194
Mar 22 05:09:00 localhost xinetd[667]: EXIT: ftp pid=14054
duration=0(sec)
Mar 22 05:09:24 localhost xinetd[667]: START: ftp pid=14055
from=67.104.141.194
Mar 22 05:09:24 localhost xinetd[667]: EXIT: ftp pid=14055
duration=0(sec)
Mar 22 05:10:12 localhost xinetd[667]: START: ftp pid=14056
from=67.104.141.194
Mar 22 05:10:12 localhost xinetd[667]: EXIT: ftp pid=14056
duration=0(sec)
Mar 22 07:49:16 localhost xinetd[667]: START: ftp pid=14059
from=67.104.141.194
Mar 22 07:49:17 localhost xinetd[667]: EXIT: ftp pid=14059
duration=1(sec)
Mar 22 10:48:21 localhost xinetd[667]: START: ftp pid=14061
from=67.104.141.194
Mar 22 10:48:23 localhost xinetd[667]: EXIT: ftp pid=14061
duration=2(sec)
Mar 22 11:26:25 localhost xinetd[667]: START: ftp pid=14063
from=217.136.247.122
Mar 22 11:27:05 localhost xinetd[667]: EXIT: ftp pid=14063
duration=40(sec)
Mar 22 15:45:35 localhost xinetd[667]: START: ftp pid=14066
from=67.104.141.194
Mar 22 15:45:38 localhost xinetd[667]: EXIT: ftp pid=14066
duration=3(sec)
Mar 23 23:57:05 localhost xinetd[667]: START: ftp pid=14083
from=195.36.251.68
Mar 23 23:57:46 localhost xinetd[667]: EXIT: ftp pid=14083
duration=41(sec)
Mar 24 06:31:09 localhost xinetd[667]: START: ftp pid=14087
from=218.237.64.156
Mar 24 06:31:10 localhost xinetd[667]: EXIT: ftp pid=14087
duration=1(sec)
Mar 24 06:37:54 localhost xinetd[667]: START: ftp pid=14088
from=218.237.64.156
Mar 24 06:37:54 localhost xinetd[667]: EXIT: ftp pid=14088
duration=0(sec)
Mar 24 06:38:16 localhost xinetd[667]: START: ftp pid=14089
from=218.237.64.156
Mar 24 06:38:17 localhost xinetd[667]: EXIT: ftp pid=14089
duration=1(sec)
Mar 24 16:41:58 localhost sshd[14097]: Did not receive identification
string from 212.177.245.10
Mar 24 16:42:02 localhost sshd[14098]: Did not receive identification
string from 212.177.245.10
Mar 24 16:42:06 localhost sshd[14099]: Did not receive identification
string from 212.177.245.10
Mar 24 16:42:19 localhost sshd[14100]: Did not receive identification
string from 212.177.245.10
Mar 24 16:42:44 localhost sshd[14101]: Did not receive identification
string from 212.177.245.10
Mar 24 16:43:36 localhost sshd[14102]: Did not receive identification
string from 212.177.245.10
Mar 25 15:57:42 localhost xinetd[667]: START: ftp pid=14116
from=80.117.6.95
Mar 25 15:57:45 localhost xinetd[667]: EXIT: ftp pid=14116
duration=4(sec)
Mar 25 22:06:39 localhost xinetd[667]: START: ftp pid=14120
from=211.175.24.248
Mar 25 22:06:41 localhost xinetd[667]: START: ftp pid=14121
from=211.175.24.248
Mar 25 22:06:43 localhost xinetd[667]: EXIT: ftp pid=14121
duration=2(sec)
Mar 25 22:06:43 localhost xinetd[667]: EXIT: ftp pid=14120
duration=4(sec)

”###allora....cosa mi dite?””###
grazie mille a chi mi aiuterà!!! e perdonatemi se ho detto delle
nefandezze immonde!!!

Giovanni Caruso

To:	Erlug <erlug@xxxxxxxxxxxxxx>
Subject:	[Erlug] Mi hanno bucato?Aiutoooooo
From:	Giovanni Caruso <pecico@xxxxxxxxx>
Date:	Wed, 26 Mar 2003 10:22:23 -0500

<Prev in Thread]	Current Thread	[Next in Thread>
[Erlug] Mi hanno bucato?Aiutoooooo, Giovanni Caruso <= Re: [Erlug] Mi hanno bucato?Aiutoooooo, Zen Re: [Erlug] Mi hanno bucato?Aiutoooooo, Giovanni Caruso Re: [Erlug] Mi hanno bucato?Aiutoooooo, Zen Re: [Erlug] Mi hanno bucato?Aiutoooooo, Maurizio Lemmo - Tannoiser Re: [Erlug] Mi hanno bucato?Aiutoooooo, Zen Re: [Erlug] Mi hanno bucato?Aiutoooooo, Giovanni Caruso Re: [Erlug] Mi hanno bucato?Aiutoooooo, Massimiliano Masserelli Re: [Erlug] Mi hanno bucato?Aiutoooooo, Giovanni Caruso Re[2]: [Erlug] Mi hanno bucato?Aiutoooooo, Fabio Muzzi Re: Re[2]: [Erlug] Mi hanno bucato?Aiutoooooo, Giovanni Caruso

Previous by Date:	Re: [Erlug] fearz..., Ivan Sergio Borgonovo
Next by Date:	[Erlug] mandrake precorre i tempi ... ancheno', dariondol
Previous by Thread:	[Erlug] da it.comp.os.linux.annunci, Maurizio Lemmo - Tannoiser
Next by Thread:	Re: [Erlug] Mi hanno bucato?Aiutoooooo, Zen
Indexes:	[Date] [Thread] [Top] [All Lists]