Kinesisk hacking

Då och då kollar jag var som hamnat i /etc/hosts.deny på mina VPS'er pga denyhost. I veckan såg jag 180.168.208.2:

# whois 180.168.208.2
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 180.168.208.0 - 180.168.208.255
netname: JINGBEI
country: CN
descr: China People's Liberation Amy

Nån annan som sett något liknande i ssh-loggarna (eller andra loggar)? Jag har alltid trott att kvällspressens tjafs om (statlig) Kinesisk hacking var en överdrift, men....??

Det kan ju också vara en hackad dator på Kinesiska arméns nätverk, det vore ju nästan värre.

Den ligger trots allt i hosts.deny, så du kanske borde fråga din VPS leverantör varför? Låter otroligt att nån skulle hackat din box for att sen bara göra en deny mot en ip?

Jag tror du missförstått mig. Det är alltså bruteforce hacking-försök. Efter 2 misslyckade inloggningar blir de blockade av denyhost som jag har installerat på alla mina servers.

Det ovanliga/roliga som jag undrar över är IP-adressen.

(och det är jag som är VPS-leverantören, eller rättare sagt webhotellet jag jobbar på)

Låter ju märkligt att de skulle använda sig av "descr: China People's Liberation Amy" om inte syftet är att få uppmärksamhet och det saknar de inte ändå. Låter troligare att nån annan (stat?) använder detta för att smutskasta Kina.

Njae, du får inte IP-addresser assignade till dig hur som helst. Det är en mycket strikt och besvärlig process. IP-adressen tillhör utan tvekan PLA, frågan är:

a) Kör de stora bruteforceförsök mot vad som helst utan att bry sig om vad som hamnar i loggarna?

eller:

b) Är det möjligtvis en hackad PLA-dator som används? Det är ju inte ovanligt, mycket spam, DDoS-attacker och bruteforce-försök görs från infekterade klienter. Tycker bara det är lite långsökt att en hackad PLA-dator skulle försöka logga in över SSH på just min server.

Tråd -> IT-säkerhet: avancerad nivå -> IT-säkerhet

//Mod

En betydande andel av aktiva och längre inloggningsförsök som jag ser kommer från asien på mina maskiner.
Har inte sett någon större del just detta nätverk (180.168.208/24) och då endast enstaka försök (så till den grad att de inte ligger i mina spärrloggar eftersom försöken varit för få).

Jag har blockerat stora delar asiatiska ipn från att nå ssh vilket minskat ner försöken till relativt få. De få enskilda som syns från just denna nätlängan behöver inte betyda något särskilt. Kan vara i forskningssyfte eller studenter som testar lika gärna som aktiva intrångsförsök för att skaffa attackpunkter. Jag ser t ex fler intrångsförsök från olika säkerhetsföretag och andra aktörer som forskar eller testar än vad jag ser från addresser registrerade på militära enheter.

Personligen tror jag att PLA är smarta nog att dölja sina operationer bättre än att använda addresser registrerade på dem men människans dumhet upphör aldrig att förvåna.