ตามรายละเอียดด้านล่าง
แบบ สงสัยว่า ทำไม มันเป็น unknow ปกติจะเห็นเป็น root
และอีกอย่างที่สงสัย
และถ้าจะ block ip แบบนี้ มัน ip อะไรหรือครับ 156-227-133-202.above.net.tw
ผมได้ ศึกษา ทางแก้ในเน๊ต เจอเค้าให้ใส่ iptables ไปตามนี้
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update
มัน ทำอะไรหรือครับ และต้อง restart iptables หรือเปล่า
Oct 23 07:04:06 sc1425 sshd(pam_unix)[480]: check pass; user unknown
Oct 23 07:04:10 sc1425 sshd(pam_unix)[482]: check pass; user unknown
Oct 23 19:16:44 sc1425 sshd(pam_unix)[28056]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=host2.chileadmin.com us
er=ntp
ct 24 03:02:43 sc1425 sshd(pam_unix)[22291]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=61-219-74-157.hinet-ip.h
inet.net user=root
Oct 24 03:02:47 sc1425 sshd(pam_unix)[22295]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=61-219-74-157.hinet-ip.h
inet.net user=root
Oct 24 21:15:12 sc1425 sshd(pam_unix)[8028]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=156-227-133-202.above.net
.tw user=test
Oct 24 21:15:18 sc1425 sshd(pam_unix)[8045]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=156-227-133-202.above.net
.tw user=test
Oct 24 23:25:02 sc1425 sshd(pam_unix)[10579]: check pass; user unknown
Oct 24 23:25:02 sc1425 sshd(pam_unix)[10579]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=156-227-133-202.above.net.tw
Oct 24 23:25:05 sc1425 sshd(pam_unix)[10600]: check pass; user unknown
ลองดูที่กระทู้เก่าที่ผมเคยโพสไว้แล้ว
กระทู้เก่า
การแก้ไขเบื้องต้นที่ง่ายๆ แต่ได้ผล
- พยายามใช้ OS ที่อัพเดทที่สุด
- หลีกเลี่ยงการตั้ง Password แบบง่ายๆ ทั้ง root, Admin CP และอย่าตั้งให้เหมือนกัน
- ตั้ง Fire wall ให้ทำงาน (Linux)
- พยายามเข้าดู Log ทุกวัน หรือทุกครั้งที่มีโอกาส
- อัพเดท Patch ต่างๆ ให้เร็วที่สุดทั้งที่ตัว OS และ CP
เรื่องโดนเจาะ หรือพยายามเจาะ ไม่ใช่เรื่องผิดปกติครับ โดนกันทุกคน และโดนกันทุกวัน
พยายามเฝ้าระวัง และหมั่นหาความรู้เรื่องพวกนี้สม่ำเสมอนะครับ อย่าประมาท 
และถ้าจะ block ip แบบนี้ มัน ip อะไรหรือครับ 156-227-133-202.above.net.tw
156-227-133-202 = 202.133.227.156
route add -host 202.133.227.156 reject
แต่ block ไปก็เท่านั้น คนอื่นมีอีกเยอะครับ
ข้อความเอาความรู้หน่อยนะครับ
Oct 25 22:09:25 sc1425 kernel: Connection attempt (PRIV): IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0c:29:57:7a:ac:08:00 SRC=192.215.223.209 DST=192.215.223.255 LEN=236 TOS=0x00 PREC=0x00 TTL=128 ID=5983 PROTO=UDP SPT=138 DPT=138 LEN=216
Oct 25 22:09:59 sc1425 kernel: Connection attempt (PRIV): IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:30:48:80:9e:ea:08:00 SRC=202.57.118.179 DST=255.255.255.255 LEN=115 TOS=0x00 PREC=0x00 TTL=64 ID=22671 DF PROTO=UDP SPT=631 DPT=631 LEN=95
อันนี้ เอามาจาก /var/log/message
ว่ามันมีความหมายอย่างไรหรือครับ
เช่น
SCR=192.215.223.209 คือ ip ที่ ติดต่อเข้ามาหรือครับ แล้ว ทำไม มันถึงติดที่ firewall
แล้วถ้า คนเข้าเรียกเวปเฉยๆ มันจะติดตรงนี้ไหมครับ
แบบอยากรู้ว่า มันบอกความหมายอะด้บ้างหรือครับ
kernel: Connection attempt (PRIV): มันคืออะไรหรือครับ
รู้แต่ว่า ถ้า sshd แสดงว่า พยายาม ssh มา แต่ เป็น kernel เนี่ยเลยงงเลย
และการเปลี่ยน
203-151-140-123.inter.net.th เป็น ip ทำอย่างไรหรือครับ ว่ามันคือ ip อะไร
แล้วจาก # route add -host 202.133.227.156 reject
แล้วถ้า เราจะ เปลี่ยน เป็น รับ เนี่ย ทำไงหรือครับ เพื่อบางที ดัน block พลาด
Guy852
5
Blocak ไปแล้วท่านอื่นจะเข้ายังไงล่ะท่าน
1114
6
รู้สึกพี่ thaiman2521 จะมีปัญหาเกี่ยวกับพวก เจาะๆ hack ๆ เยอะนะ B)
รู้สึกพี่ thaiman2521 จะมีปัญหาเกี่ยวกับพวก เจาะๆ hack ๆ เยอะนะ B)
นั่นนะสิครับ 
เศร้าๆๆๆๆๆๆๆ
