Podivný provoz na SSH na WAN?


#1

Před upgrade na TurrisOS 3.10.3 jsem udělal zálohu, a trochu se podíval na stav systému. Zaujal mě poměrně stabilní provoz na SSH na WAN rozhraní z 2 webů. Po restartu a upgrade OS na 3.10.3 to dalo chvíli pokoj, ale dnes ráno je tam opět. Na WAN rozhraní mi běží HaaS služba, takže nějaké to spojení mě nepřekvapuje. Tohle je ale stálý datový tok…

src:server726.yayin.com.tr:65699
dst: wan port Turris1.0:22
Přeneseno 688MB (3695537Pkts)

Druhým zdroje provozu je IP 211.22.72.61 (*.hinet.net)
Přeneseno 797MB (883278Pkts)

Nesetkal se někdo ?


#2

Občas se stane, že se program útočníka zasekne a zkouší pořád dokola ty samé přihlašovací údaje a příkazy několikrát do minuty třeba i 3 dny.

Ten na screenshotu níže to takto zkouší od včerejší 15. hodiny každou sekundu …

Nemůže to být něco podobného?


#3

SSH nemam ven otevrene. HaaS u me asi nefunguje uplne dobre (vetsina test spojeni co sem delal, zustane vyset u me na routeru bez timeoutu nebo nejaky chyby) este sem se nedostal k tomu to resit, coz predpokaldam ze je pripad i tech spojeni co postujes a co postuju ja.

Statistiky z meho routeru jsou o “trosku” vetsi viz:

|IPV4|TCP|server726.yayin.com.tr:53320|89.233.188.43:22|2.37 GB (17440151 Pkts.)|
|IPV4|TCP|server726.yayin.com.tr:65494|89.233.188.43:22|1.83 GB (10707679 Pkts.)|
|IPV4|TCP|5.2.199.103:56074|89.233.188.43:22|1.21 GB (7261865 Pkts.)|
|IPV4|TCP|server726.yayin.com.tr:54548|89.233.188.43:22|773.06 MB (3773777 Pkts.)|
|IPV4|TCP|server726.yayin.com.tr:54933|89.233.188.43:22|550.48 MB (1876103 Pkts.)|
|IPV4|TCP|117.247.189.120:55278|89.233.188.43:22|122.76 MB (240081 Pkts.)|
|IPV4|TCP|server726.yayin.com.tr:57481|89.233.188.43:22|100.87 MB (132175 Pkts.)|


#4

No, přes GB jsem se za den také dostal, trochu mě zaráží, že v HaaSu ty hosty nejsou, přitom mi HaaS normálně loguje.

Uvídím, jestli Haas nevypnu a nechám jen původní telnet emulaci…

Díky a prima prázdniny :slight_smile: