OVH Community, your new community space.

logowanie do sshd z 0.0.0.0 (lastb)


victor
09-09-2012, 13:53
# lastb -a -i -n 10000|grep '0.0.0.0'
hoccente ssh:notty Sat Sep 8 12:24 - 12:24 (00:00) 0.0.0.0
tomcat ssh:notty Sat Sep 8 12:24 - 12:24 (00:00) 0.0.0.0
postfix ssh:notty Sat Sep 8 12:24 - 12:24 (00:00) 0.0.0.0
oracle ssh:notty Sat Sep 8 05:40 - 05:40 (00:00) 0.0.0.0
root ssh:notty Sat Sep 8 05:40 - 05:40 (00:00) 0.0.0.0
root ssh:notty Fri Sep 7 03:50 - 03:50 (00:00) 0.0.0.0
root ssh:notty Thu Sep 6 10:54 - 10:54 (00:00) 0.0.0.0
root ssh:notty Thu Sep 6 10:53 - 10:53 (00:00) 0.0.0.0
root ssh:notty Thu Sep 6 10:53 - 10:53 (00:00) 0.0.0.0
root ssh:notty Thu Sep 6 10:53 - 10:53 (00:00) 0.0.0.0
root ssh:notty Wed Sep 5 04:40 - 04:40 (00:00) 0.0.0.0
root ssh:notty Tue Sep 4 18:40 - 18:40 (00:00) 0.0.0.0
office ssh:notty Mon Sep 3 03:33 - 03:33 (00:00) 0.0.0.0

Dlaczego ten atak hail mary jest z adresu 0.0.0.0?
Jak sprawdzałem, nawet gdy lokalnie robie połaczenie ssh na localhost lub 0.0.0.0 to w lastb jest widoczne jako z 127.0.0.1 Więc o co chodzi?
Może jakby lokalny klient zbindował się do 0.0.0.0 i poźniej wykonał połaczenie ssh... hm, pewnie tak to robią.