Välkommen till linuxportalen.se!

Linuxportalen.se är Sveriges största och aktivaste webbplats för användare av öppen- och fri programvara.

Du besöker Linuxportalen.se som gäst vilket begränsar din möjlighet att använda webbplatsens alla funktioner. Genom att registera dig som medlem får du inte bara möjlighet att söka bland webbplatsens innehåll, skapa nya och delta i befintliga diskussioner, skapa din egen blogg, kommunicera med andra medlemmar genom privata meddelanden och delta i omröstningar. Du får också tillgång till Veckans Kadavro - en seriestrip unikt skapad för Linuxportalen.se!

Registeringen sker snabbt och är helt kostnadsfri - tveka inte, bli medlem idag!

Suck....

Återigen är jag mål för någon kines intrångsförsök. En och samma IP-adress har, i 42 timmar, försökt logga in på min FTP-server en gång i sekunden. Och på de tre omgångar samma IP-adress har försökt logga in har han/hon/den/det gjort över 250K försök, utan att lyckas med ett enda!

Om man bortser från lyckan att han/hon/den/det inte lyckats logga in så börjar jag bli irriterad över det. Jag har, självklart, skrivit ett brev till ISP:n (?) som har IP-nummret, men inte hört något därifrån. Är det någon mer därute som känner igen IP-adressen 60.217.229.220 från sina egna eller andras loggar?

Alternativ för kommentarvisning

Välj ditt önskade sätt att visa kommentarerna och klicka på "Spara" för att verkställa dina ändringar.

Lasps bild

Döden kallar dig!

Jag har för många år sedan varit på Himmelska fridens Torg och kollat in Chairman Maos masoleum.
Dit går den sökta IP adressen!

Klistra in den här:

60.217.229.220

http://www.seomoz.org/ip2loc

Man kan ju fråga sig vad de får ut av det ;-((

uffe_nordholms bild

Kul tjänst, men den verkar inte vara särskilt rättvisande: min IP-adress placeras i Gävle, medan jag i verkligheten bor i Umeå....

andys bild

Verktyget du skickade säger att man adress befinner sig i Paris, det är onöjligt då jag aldrig kommer att sätta min fot där Smile

FoHs bild

Kan du inte blockera den IPn helt och hållet?

pbs bild

Kan åstadkommas enkelt med de flesta brandväggsverktyg...

uffe_nordholms bild

Jag börjar allvarligt fundera på något sätt att blocka IP-adresser. Just denna kan jag ju blocka permanent, det lär inte drabba mig eller någon jag känner, men i övrigt vill jag bara blocka IP-adresser tillfälligt om de gjort något jag inte gillar.

 

Samtidigt är det lite spännande att se hur många försök han/hon/den/det gör innan han/hon/den/det ger upp...

FoHs bild

Borde ju vara något automatiserat verktyg som gör det, så jag tror inte någon fysisk person lär bli uttröttad i första taget Smile

uffe_nordholms bild

Va? Självklart är det en person som sitter vi dsin dator i Kina och försöker logga in på min server... Hittils har människan gjort 162650 försök, vilket tagit honom/henne lite över 45 timmar med ett försök i sekunden.

 

</ironi>

Jo, det lär vara något automatiskt verktyg. Det jag undrar över är om datorägaren är medveten om vad som sker eller inte: det kan ju vara någon som fått in virus/trojan/mask/crapware i sin dator och inte vet om det. Det kan lika gärna vara någon som medvetet försöker knäcka sig in.

Ytterligare en möjlighet är att det är någon som försöker lära sig hur man tar sig in. Fast i så fall kan jag berätta att han/hon/den/det/de inte kommit långt i sitt lärande....

En fråga som poppar upp i mitt huvud när jag utsätts för sånt här (det är inte första gången, men hittils den mest ihållande IP-adressesn) är vad Kina har sin brandvägg till? Att den har till uppgift att blockera information som kinas kommunistparti inte vill att befolkningen skall ha tillgång till verkar tämligen klart. Men borde den inte också ha i uppgift att blockera sådant som får Kina att framstå i dålig dager? Jag kommer ju inte att ha en positiv bild av kineser nu när minst en av dem, uppdelat på tre försök vid tre olika tillfällen, har gjort över en kvarts miljon misslyckade försök att logga in på min server... Kanske jag skulle skriva ett brev till Kinas ambassad och föreslå en utvidgning av deras brandvägg.

tux-svens bild

Ta kontakt med Kinas ambassad och berätta om problemet.  Säg att du tycker att det är synd att Kina kommer i dålig dager nu när deras relationer till Europa börjar bli så goda.   Wink

Kan vara spännande och höra vad de säger.

---

Windows are for houses, Linux is for computers!

 

hoths bild

Kan vara dåligt, hittar de missdådaren så är väl risken stor att han/hon ställs upp mot en vägg. Riktigt så långt är man kanske inte beredd att gå... :-( 

----
Linux växer snabbast!

Lasps bild

Ahaa Vi skall ta till en mjukiskultur, om man bor i China får man göra så, för de har så grym regering!

hoths bild

Å andra sidan är det ju en SPAMare, så anmäl honom! (blodtörst..) Nej, skämt å sido.

Naturligtvis kan man påtala problemet för dem, samtidigt som man undviker att peka ut någon specifik individ som syndare.

Nu pratar vi ju om en diktatur så man får tänka på vad som eventuellt kan hända den man lämnar ut. Se bara på de senaste nyheterna, han som påtalade att de byggfuskade och som 'tack' för det avslöjandet blev dömd till ett kraftigt straff för att han innehade "statshemligheter" olovandes...

----
Linux växer snabbast!

uffe_nordholms bild

Det går ju självklart inte att utesluta scenariot du målar upp, men jag tycker det är väldigt långsökt. Främst med tanke på att Kina traditionellt inte brytt sig om brott mot utlänningar utanför Kina (tänk på tex hur många piratkopior som tillverkas i Kina...). Hade det rört sig om en hacker som försökte knäcka sig in i kinesiska regerings server hade han/hon blivit honkad för länge sedan, men jag är "bara" en utlänning. Inte ens en representant för en utländsk regering.... Så oavsett vad jag säger/skriver kan de skita i mig.

kozzs bild

Jag använder verktyget DenyHosts (http://denyhosts.sourceforge.net/) på mina servrar för att skydda mig mot just detta som du pratar om här. DenyHosts fungerar visserligen bara med SSH-servrar. Men borde ju kunna finnas något liknande till din FTP-server kan man tycka. Jag vet inte vilken FTP-server du kör. Men om du söker lite på nätet kanske det finns färdiga verktyg för att tillfälligt stänga av användare om det är många felaktiga försök från samma IP.

andys bild

jag själv har råkar ut för detta varje dag, det är robotar som försöker med flera användare via ssh bla user, test, mike, apache, myssql m.m.

 

Jag lägger ipdressen från hosten i host.deny

Rätt kul jag har ofta loggfilen uppe och ibland när man sitter där så ser man attackerna börja då slänger jag in den, och dår står det bara deny deny deny ....för att sedan upphöra.

 

 

Nån dag kommer det dock lyckats att ta sig in.

Pettmans bild

Går det inte att på något smidigt vis lägga till ip:adressen som försöker ansluta i någon svartlistning i brandväggen så att allt från den bara makuleras och få detta att ske automatiskt om någon gör för många misslyckade inloggningsförsök på en viss tid?

___________________________________
För övrigt anser jag att CapsLock bör förgöras...

uffe_nordholms bild

Sådär, nu har jag skickat ett email till kinesiska ambassaden, så får vi se vad de svarar, om något. Texten i emailet följer här nedan:

------------------------------------------------------------

I am writing to you so you know about the actions of somebody, who as far as I can tell, is inside China, and whose actions leave me with a distaste for all things Chinese.

I, the writer of this email, am a Swedish citizen living in Umeå, Sweden. I have never been to China and have not previously had reason to consider any action against China as a country or Chinese people.

However, this has changed. Being computer interested, I have for several years had a server running under my desk at home. This server is accessible from internet via FTP and HTTP. It is therefore also subject to various attempts at intrusion, ranging from feeble attempts relying on misconfigurations to more technically challenging assaults by person/people with a clear objective in mind. While annoying, these intrusion attempts are mostly harmless. Lately though, I have come under repeated attack from an IP address that seems to belong to a company called  China Unicom (information taken from http://wq.apnic.net/apnic-bin/whois.pl, the IP address concerned is 60.217.229.220).

In three separate attacks, this IP address has tried to log on to my FTP server once a second, totalling over 285000 times. And the third attack is not over yet: it continues at one log-in attempt every second as I write this.

Since each and every attempt to log on has failed (so far), I cannot draw a conclusion other than that the person (or persons) originating this trafic are trying to gain access to my server without my permission. Putting it simply, someone is trying to hack into my server! This is not something I enjoy.

For a country in which, as I understand it, all foreign internet traffic passes through a government-controlled firewall I would hope that this amount of FTP traffic to and from a single pair of IP addresses (the source and target) would raise an alert. If this traffic does not raise an alert, I would like to suggest the firewall be modified so as to raise such an alert.

Supposing this traffic does raise an alert, the continuing traffic suggests a number of possibilities to me:
a: the Chinese government has no legal way of stopping the traffic
b: the Chinese government chooses not to stop the traffic so as to not annoy the country's population
c: the Chinese government chooses not to stop the traffic because the traffic is originated with the Chinese governments quiet approval, or on its behalf

No matter whether or not the traffic actually does raise an alert, its continuation leaves me with a bad impression of China and its people.

pingus bild

Jag tycker det är riktigt, riktigt uselt att föreslå en hård diktatur att de ska skärpa övervakningen av undersåtarna än mer!

Hackare finns överallt, i alla länder. Be inte Gestappo övervaka än mer bara så du ska få det lite lugnare!

----------------------------
In Pingvino veritas!

http://www.tuxit.se
http://blogg.skuttungecity.se

Lasps bild

Intressant inlägg pingu!  Nu finns inte Gestapo mer. Men du vill alltså att folk skall få bete sig hur som helst?

Hur skulle du ha reagerat i stället då?

uffe_nordholms bild

Jag tycker att om nu Kina skall ha en brandvägg för att filtrera viss trafik så kan den ju faktiskt användas för att skona yttervärlden från skit innifrån brandväggen, inte bara hindra lokalbefolkningen att läsa saker regeringen inte vil att de skall kunna läsa. Jag hoppas dock inte att regeringen faktiskt _gör_ något bara för att jag föreslår det.

Hur som helst lade jag till IP-adressen i routerns spärrlista, så de kommer inte att kunna irritera mig från just den IP-adressen längre. Men det känns som ett nederlag faktiskt, att behöva gå så långt. Å andra sidan så förekommer den IP-adressen 335310 gånger i FTP-loggarna. Av dessa är tre rader när IP-adressen anslutit till servern (typ öppnat kanalen för kommunikation) och resten är misslyckade försök att logga in. Uppdelat på tre anfall har denna IP-adress hållit min server upptagen en gång i sekunden i strax över 93 timmar. Eller nästan fyra dygn!

tux-svens bild

Uj, det var skarpare formulerat än jag hade gjort själv....

Men nu ar det gjort.  Det kanske resulterar i hembesök av nå'n kinesisk ambassad-dam???     Wink

Det blir spännande att höra fortsättningen.

---

Windows are for houses, Linux is for computers!

 

danjeels bild

ip2ban, googla

Ska det verkligen vara nödvändigt när det räcker med några rader i brandväggen?

danjeels bild

Ja, om attacken endast kommer från ett ställa är det kanske inte nödvändigt.

Jag har egna erfarenheter av att min server utsätts för inloggningsförsökt från i snitt 3 olika adresser varje dag. Och då orkar man inte göra detta manuellt Wink

Manuellt? Det fixar väl brandväggen själv med ca 3 regel rader.

Vet att en del använder program som tex fail2ban men den gör betydligt mer än vad som krävs för detta.

danjeels bild

Hmm det låter intressant, du har inte lust att dela med dig av den kunskapen?