---

I det sidste stykke tid har jeg bemærket at forskellige IP'er har
forsøgt at logge ind som en masse default brugere, www, root, test, samt
en masse brugernavne, som f.eks pamela, amtt og patrick.

Det er ikke noget der bekymre mig synderligt, men jeg ville egentligt
gerne vide hvad det er for et tool de små crackere brugere og evt.
hvordan det er skruet sammen.

Nogen der har mere information om den slags angreb?



--
Simon Lyngshede
simon@giraf.spiceweasel.dk
Remove long necked animal.

---

Simon Lyngshede <simon@giraf.spiceweasel.dk> hit the keyboard.
Afterwards the following was on the screen:

> I det sidste stykke tid har jeg bemærket at forskellige IP'er har
> forsøgt at logge ind som en masse default brugere, www, root, test,
> samt en masse brugernavne, som f.eks pamela, amtt og patrick.
>
> Det er ikke noget der bekymre mig synderligt, men jeg ville egentligt
> gerne vide hvad det er for et tool de små crackere brugere og
> evt. hvordan det er skruet sammen.
>
> Nogen der har mere information om den slags angreb?

Det har været oppe at vende tidligere i gruppen ligesom i
dk.edb.system.unix. Alex har vistnok også skrevet lidt om det.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Ah, they've got the internet on computers now.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Simon Lyngshede wrote:

> Nogen der har mere information om den slags angreb?

Her er en, der har samlet nogle notater:
<http://dev.gentoo.org/~krispykringle/sshnotes.txt>

Jeg havde egentlig lukket for port 22 i min FW, men åbnede den igen for
nogle dage siden.

En af de ting, jeg bemærker er, at de er blevet/bliver mere agressive,
forstået på den måde, at der er flere og flere brugernavne - og der er
flere forsøg pr bruger, især root.

For bare et par timer siden prøvede 65.13.196.50 hele 59 gange med root.


--
Med venlig hilsen
Stig Johansen

---

"Simon Lyngshede" <simon@giraf.spiceweasel.dk> skrev i en meddelelse
news:4174f2a5$0$77009$14726298@news.sunsite.dk...

Hej Simon,

>I det sidste stykke tid har jeg bemærket at forskellige IP'er har forsøgt
>at logge ind som en masse default brugere, www, root, test, samt en masse
>brugernavne, som f.eks pamela, amtt og patrick.

Fænomenet er bl.a. diskuteret på Full-Disclosure. Som det fremgår, har flere
observeret denne stigning i bruteforce mod SSH, over nogle måneder.

Læs følgende tråd:
http://lists.netsys.com/pipermail/full-disclosure/2004-October/027615.html

Venligst
Peter Kruse
http://www.csis.dk

---

En helt masse bits fra Simon Lyngshede til dk.edb.sikkerhed gav følgende:

> I det sidste stykke tid har jeg bemærket at forskellige IP'er har
> forsøgt at logge ind som en masse default brugere, www, root, test, samt
> en masse brugernavne, som f.eks pamela, amtt og patrick.

Den har været oppe og vende i flere forskellige sikkerheds- og unix-foraer.
Jeg lavede lige en lille graf over mine oplevelser de sidste 4 mdr. Den kan
ses på http://gallery.lagengymnastik.dk/skrammel/ssh_failed_logins.png og
viser hvordan det har udviklet sig for min lille, forholdsvis anonyme og
særdeles ikke-kommercielle maskine.
En ting som jeg har bidt mærke i er at der har været uforholdsmæssigt mange
forsøg med brugernavnet Henrik (med stort sjovt nok), hvilket måske kunne
antyde at der er nogen der harvester mailadresser og bruger det som
<login>@<server> - men det er kun et gæt.

[...]

> Simon Lyngshede

--
Med Venlig Hilsen: Henrik Bøgh || http://lagengymnastik.dk/

"You know what the problem with Hollywood is? They make shit!"
-- John Travolta as Gabriel Shear in 'Swordfish'