mensagem "nologin: Attempted login by root on UNKNOWN"

1. mensagem "nologin: Attempted login by root on UNKNOWN"

Mauricio de Mello
mauriciors

(usa FreeBSD)

Enviado em 28/06/2010 - 10:40h

Pessoal nao sei se cabe uma pergunta de freebsd no fórum linux mas ae vai..

tenho um freebsd e faz um tempo para ca eu olhei nos logs e aparece esta mensagem várias vezes "nologin: Attempted login by root on UNKNOWN"

alguem sabe se é um ataque de tentativa de invasão? alguem tentando acessar o root de fora?

abs




  


2. Re: mensagem "nologin: Attempted login by root on UNKNOWN"

irado furioso com tudo
irado

(usa XUbuntu)

Enviado em 28/06/2010 - 10:43h

possivelmente tentativa de "brute force" no seu box. Vc está com o pf ou ipfw ativado? verifique também as mensagens (tail -fn 50 /var/log/messages ) pra saber se não tem algo mais "estranho" acontecendo.

qual a situação da máquina? é um gw, um fwll, um servidor, o que ela faz e COMO está conectada na internet?

sugestão: participe da lista FUG-BR e/ou do irc freenode, canal ##freebsd-br, vc tem gente feríssima lá.


3. Re: mensagem "nologin: Attempted login by root on UNKNOWN"

Joao
stack_of

(usa Slackware)

Enviado em 28/06/2010 - 10:50h

No mínimo alguem tentou logar ou conectar com a conta root, talvez via ssh, telnet ou mesmo com acesso fisico à máquina através de um terminal.

Outra explicação alternativa seria algum serviço tentando executar uma operação com a conta root mas não foi atribuido nenhum shell a esse serviço, dai por que UNKNOWN.


4. Re: mensagem "nologin: Attempted login by root on UNKNOWN"

Mauricio de Mello
mauriciors

(usa FreeBSD)

Enviado em 28/06/2010 - 12:04h

é um feirewall com nat para outros servers internos.
bloquie o acesso externo para o ssh no PF

referente a esta resposta abaixo, tem como identificar qual serviço?

"Outra explicação alternativa seria algum serviço tentando executar uma operação com a conta root mas não foi atribuido nenhum shell a esse serviço, dai por que UNKNOWN"

valeu pessoal


5. Re: mensagem "nologin: Attempted login by root on UNKNOWN"

Joao
stack_of

(usa Slackware)

Enviado em 29/06/2010 - 19:29h

Verifica os arquivos de log dos serviços em execução.