Por que o endereço IP do ataque tem uma string 'dia'

Navegue suas respostas
2

Este é um registro de netstat –lnt | grep ^tcp : 

tcp        0      0 xx.xxx.xx.72:ssh        106.49.174.61.dia:55983 ESTABLISHED

"x" está oculto por mim:)

minhas perguntas são:

  • por que o endereço tem um "dia"?
  • Ele já logou no meu servidor Ubuntu por sshd?
  • Como banir este endereço?
por lovespring 07.04.2015 / 23:38

1 resposta

4

Este endereço IP, 106.49.174.61 , pertence CHINACACHE . 

xxx@xxx ~ $ whois 106.49.174.61
% [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

% Information related to '106.48.0.0 - 106.49.255.255'

inetnum:        106.48.0.0 - 106.49.255.255
netname:        CHINACACHE
descr:          Beijing Blue I.T Technologies Co.,Ltd.
descr:          Galaxy Building,No.10 jiuxianqiao ,chaoyang
descr:          District,beijing
country:        CN
admin-c:        YS1150-AP
tech-c:         DC1032-AP
mnt-by:         MAINT-CNNIC-AP
mnt-lower:      MAINT-CNNIC-AP
mnt-routes:     MAINT-CNNIC-AP
mnt-irt:        IRT-CNNIC-CN
status:         ALLOCATED PORTABLE
changed:        [email protected] 20110322
source:         APNIC

irt:            IRT-CNNIC-CN
address:        Beijing, China
e-mail:         [email protected]
abuse-mailbox:  [email protected]
admin-c:        IP50-AP
tech-c:         IP50-AP
auth:           # Filtered
remarks:        Please note that CNNIC is not an ISP and is not
remarks:        empowered to investigate complaints of network abuse.
remarks:        Please contact the tech-c or admin-c of the network.
mnt-by:         MAINT-CNNIC-AP
changed:        [email protected] 20110428
source:         APNIC

CHINACACHE é ISP e, na maioria dos casos, sufix dia significa D ynamic I p A ddress. O ISP usa grandes pools de endereços IP públicos para usuários de serviços de ISP [adsl, 3g, wless ...].

Primeiro você deve desconectar este ip.

netstat -ntp vai te dar um PID do processo que você pode matar 

xxx@xxx ~ $ netstat -ntp
(Not all processes could be identified, non-owned process info
 will not be shown, you would have to be root to see it all.)
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:53118         127.0.0.1:27117         ESTABLISHED -               
tcp        0      0 xxx.xxx.xx.x:39049      xx.xxx.xx.xxx:443       ESTABLISHED 13261/chrome    
tcp        0      0 xxx.xxx.xx.x:39048      xx.xxx.xx.xxx:443       ESTABLISHED 13261/chrome

Por exemplo, você pode ver dois processos do meu pc que im im chrome

Para matar processo, também conhecido como desconectar, você pode usar 

sudo kill -9 PID

Agora você deve evitar uma conexão indesejada com o seu PC. Inicie o firewall. 

sudo ufw start

Quando iniciar o firewall, toda a conexão com o PC será proibida. Se você deseja permitir acesso de um ip específico na rede, você pode usar este template para fazer você governar. 

ufw [--dry-run] [delete] [insert NUM]  allow|deny|reject|limit  [in|out
       on INTERFACE] [log|log-all] [proto protocol] [from ADDRESS [port PORT]]
       [to ADDRESS [port PORT]]

Exemplo 

sudo ufw allow proto tcp from xxx.xxx.xx.x port 22 to yyy.yyy.yy.y port 22

Esta regra permite o acesso de xxx.xxx.xxx.xxx ao seu pc no endereço yyy.yyy.yy.y na porta 22 que é para ssh 

sudo ufw allow proto tcp from xxx.xxx.xx.0/24 port 80 to xxx.xxx.xx.x port 80

Esta regra permite que a sub-rede xxx.xxx.xx.0 com máscara de rede 255.255.255.0 acesso ao seu pc na porta 80 aka http traffic

    
por 2707974 08.04.2015 / 09:05
Não é possível definir permissões para novos arquivos adicionados ao diretório Instale o Composer e configure com o XAMPP