forum.opennet.ru - "Странный адрес в выводе команды last" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Странный адрес в выводе команды last"

Форум Информационная безопасность (Проблемы с безопасностью / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Странный адрес в выводе команды last"	+/–
Сообщение от billybons2006 (ok) on 04-Сен-13, 16:48
Вот такую запись увидел при просмотре last от рута на CentOS (захожу по ssh от имени muser по сертификату+пароль, потом "su -". # last ... muser pts/0 ip-83-149-3-205. Thu Aug 16 16:42 - 16:43 (00:01) ... Адрес 83.149.3.205 принадлежит Мегафону. Если честно, не припомню, чтобы я заходил с моб. устройства или через модем. Но Мегафон - наш провайдер интернет, выдает нам выделенные IP-адреса (совершенно другие) для наших роутеров. Т.е. по-идее, если я и заходил с работы, то IP источника был бы другим. Из дома провайдер другой, не мегафон. Вопрос: есть ли в данном варианте иное толкование, чем тривиально напрашивающийся вывод?
Ответить \| Правка \| Cообщить модератору

Оглавление

Странный адрес в выводе команды last, PavelR, 17:52 , 04-Сен-13, (1)

Странный адрес в выводе команды last, billybons2006, 18:16 , 04-Сен-13, (2)

Странный адрес в выводе команды last, reader, 23:15 , 04-Сен-13, (3)
Странный адрес в выводе команды last, ACCA, 07:29 , 06-Сен-13, (4)

Странный адрес в выводе команды last, billybons2006, 10:53 , 09-Сен-13, (5)

Сообщения по теме [Сортировка по ответам | RSS]

1. "Странный адрес в выводе команды last" +/–

Сообщение от PavelR (ok) on 04-Сен-13, 17:52

>[оверквотинг удален]
> ...
> muser pts/0
> ip-83-149-3-205. Thu Aug 16 16:42 - 16:43 (00:01)
> ...
> Адрес 83.149.3.205 принадлежит Мегафону. Если честно, не припомню, чтобы я заходил с
> моб. устройства или через модем. Но Мегафон - наш провайдер интернет,
> выдает нам выделенные IP-адреса (совершенно другие) для наших роутеров. Т.е. по-идее,
> если я и заходил с работы, то IP источника был бы
> другим. Из дома провайдер другой, не мегафон.
> Вопрос: есть ли в данном варианте иное толкование, чем тривиально напрашивающийся вывод?
солнечная радиация воздействовала на магнитные домены жесткого диска и создала такую запись в файловой системе.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Странный адрес в выводе команды last" +/–

Сообщение от billybons2006 (ok) on 04-Сен-13, 18:16

Вам смешно. А я вот не шибко веселюсь. В этом варианте запись 83-149-3-205 - это 83.149.3.205, не перевернутая (205.3.149.83 - кстати, любопытный дает whois :))), а именно 83.149.3.205?
Время 00:01 - длительность попытки входа или длительность сеанса? По-идее, сеанса. Сеанс 1 секунда. Залогинился, залил шелл, свалил. Хватит? Хватит. Хммм...
Учитывая, что время входа - рабочее, пятница, можно предположить, что сеанс, установленный из офисной сети, почему-то пошел через роутер провайдера на этом IP (83.149.3.205), и этот IP остался в логах, а не как обычно, офисный IP.
Напишу-ка я прову, вдруг что-нибудь проясниться.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Странный адрес в выводе команды last" +/–

Сообщение от reader (ok) on 04-Сен-13, 23:15

> Вам смешно. А я вот не шибко веселюсь. В этом варианте запись
> 83-149-3-205 - это 83.149.3.205, не перевернутая (205.3.149.83 - кстати, любопытный дает
> whois :))), а именно 83.149.3.205?
прямой
> Время 00:01 - длительность попытки входа или длительность сеанса? По-идее, сеанса. Сеанс
> 1 секунда. Залогинился, залил шелл, свалил. Хватит? Хватит. Хммм...
сеанс 1-2 минуты
> Учитывая, что время входа - рабочее, пятница, можно предположить, что сеанс, установленный
> из офисной сети, почему-то пошел через роутер провайдера на этом IP
> (83.149.3.205), и этот IP остался в логах, а не как обычно,
> офисный IP.
на этой машине запустите tcpdump, а с роутеров или из-за них обращайтесь и смотрите какие будут адреса
> Напишу-ка я прову, вдруг что-нибудь проясниться.
в /var/log/auth.log ( если есть ) посмотрите так же

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Странный адрес в выводе команды last" +/–

Сообщение от ACCA (ok) on 06-Сен-13, 07:29

[...]
> из офисной сети, почему-то пошел через роутер провайдера на этом IP
> (83.149.3.205), и этот IP остался в логах, а не как обычно,
> офисный IP.
> Напишу-ка я прову, вдруг что-нибудь проясниться.
Напиши лучше last -i. А то окажется, что этот ip-83-149-3-205.xxx.xxx - одна и та же запись в обратной зоне для всех адресов.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Странный адрес в выводе команды last" +/–

Сообщение от billybons2006 (ok) on 09-Сен-13, 10:53

> Напиши лучше last -i. А то окажется, что этот ip-83-149-3-205.xxx.xxx - одна
> и та же запись в обратной зоне для всех адресов.
Не смог отписаться раньше, проверял, то же самое. Вероятность того, что это не взлом, очень высокая (наш пров - мегафон, мегафон-модем в запасной роутер воткнут, ip мегафона же). Но есть, проверяю. Жаль, Мегафон не может дать mac роутера, с короторого был коннект. Я им предлагал, мол, давайте вышлю номера моих модемов, хотя бы подтвердите, они или нет. Ответили, ничего такого не можем, история привязок "моб. номер"/"арендованный ip" не ведется. Врут, но я не полиция ))
Спасибо за отклик!

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	1. "Странный адрес в выводе команды last"	+/–
	Сообщение от PavelR (ok) on 04-Сен-13, 17:52
	>[оверквотинг удален] > ... > muser pts/0 > ip-83-149-3-205. Thu Aug 16 16:42 - 16:43 (00:01) > ... > Адрес 83.149.3.205 принадлежит Мегафону. Если честно, не припомню, чтобы я заходил с > моб. устройства или через модем. Но Мегафон - наш провайдер интернет, > выдает нам выделенные IP-адреса (совершенно другие) для наших роутеров. Т.е. по-идее, > если я и заходил с работы, то IP источника был бы > другим. Из дома провайдер другой, не мегафон. > Вопрос: есть ли в данном варианте иное толкование, чем тривиально напрашивающийся вывод? солнечная радиация воздействовала на магнитные домены жесткого диска и создала такую запись в файловой системе.
	Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Странный адрес в выводе команды last"	+/–
	Сообщение от billybons2006 (ok) on 04-Сен-13, 18:16
	Вам смешно. А я вот не шибко веселюсь. В этом варианте запись 83-149-3-205 - это 83.149.3.205, не перевернутая (205.3.149.83 - кстати, любопытный дает whois :))), а именно 83.149.3.205? Время 00:01 - длительность попытки входа или длительность сеанса? По-идее, сеанса. Сеанс 1 секунда. Залогинился, залил шелл, свалил. Хватит? Хватит. Хммм... Учитывая, что время входа - рабочее, пятница, можно предположить, что сеанс, установленный из офисной сети, почему-то пошел через роутер провайдера на этом IP (83.149.3.205), и этот IP остался в логах, а не как обычно, офисный IP. Напишу-ка я прову, вдруг что-нибудь проясниться.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Странный адрес в выводе команды last"	+/–
	Сообщение от reader (ok) on 04-Сен-13, 23:15
	> Вам смешно. А я вот не шибко веселюсь. В этом варианте запись > 83-149-3-205 - это 83.149.3.205, не перевернутая (205.3.149.83 - кстати, любопытный дает > whois :))), а именно 83.149.3.205? прямой > Время 00:01 - длительность попытки входа или длительность сеанса? По-идее, сеанса. Сеанс > 1 секунда. Залогинился, залил шелл, свалил. Хватит? Хватит. Хммм... сеанс 1-2 минуты > Учитывая, что время входа - рабочее, пятница, можно предположить, что сеанс, установленный > из офисной сети, почему-то пошел через роутер провайдера на этом IP > (83.149.3.205), и этот IP остался в логах, а не как обычно, > офисный IP. на этой машине запустите tcpdump, а с роутеров или из-за них обращайтесь и смотрите какие будут адреса > Напишу-ка я прову, вдруг что-нибудь проясниться. в /var/log/auth.log ( если есть ) посмотрите так же
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Странный адрес в выводе команды last"	+/–
	Сообщение от ACCA (ok) on 06-Сен-13, 07:29
	[...] > из офисной сети, почему-то пошел через роутер провайдера на этом IP > (83.149.3.205), и этот IP остался в логах, а не как обычно, > офисный IP. > Напишу-ка я прову, вдруг что-нибудь проясниться. Напиши лучше last -i. А то окажется, что этот ip-83-149-3-205.xxx.xxx - одна и та же запись в обратной зоне для всех адресов.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "Странный адрес в выводе команды last"	+/–
	Сообщение от billybons2006 (ok) on 09-Сен-13, 10:53
	> Напиши лучше last -i. А то окажется, что этот ip-83-149-3-205.xxx.xxx - одна > и та же запись в обратной зоне для всех адресов. Не смог отписаться раньше, проверял, то же самое. Вероятность того, что это не взлом, очень высокая (наш пров - мегафон, мегафон-модем в запасной роутер воткнут, ip мегафона же). Но есть, проверяю. Жаль, Мегафон не может дать mac роутера, с короторого был коннект. Я им предлагал, мол, давайте вышлю номера моих модемов, хотя бы подтвердите, они или нет. Ответили, ничего такого не можем, история привязок "моб. номер"/"арендованный ip" не ведется. Врут, но я не полиция )) Спасибо за отклик!
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору