{"id":19628,"date":"2018-06-12T01:00:27","date_gmt":"2018-06-11T23:00:27","guid":{"rendered":"https:\/\/eltallerdelbit.com\/?p=19628"},"modified":"2020-08-26T01:12:52","modified_gmt":"2020-08-25T23:12:52","slug":"malware-raspberry-pi-linux-muldrop-14","status":"publish","type":"post","link":"https:\/\/eltallerdelbit.com\/malware-raspberry-pi-linux-muldrop-14\/","title":{"rendered":"Malware en Raspberry Pi | Linux.MulDrop.14"},"content":{"rendered":"
<\/p>\n
<\/p>\n
Pues hoy vamos a hablar de este malware: Linux.MulDrop.14<\/strong><\/em>, veremos un caso real de Raspberry Pi infectada con malware<\/strong>, y las causas y posibles soluciones de seguridad (ya os anticipo que dejar las claves por defecto es lo peor que podemos hacer)…<\/p>\n <\/p>\n <\/p>\n <\/p>\n <\/p>\n El Malware Linux.MulDrop.14<\/em><\/a> es un malware\/troyano, que cuando se lanza en un equipo, apaga varios servicios del sistema, instala varias librerias que necesita para ejecutarse, lanza el proceso zmap<\/em> para buscar m\u00e1s nodos en la red y replicarse, lanza el proceso sshpass<\/em> para acceder a los hosts por medio de ataques de fuerza bruta, y comienza un loop eterno siguiendo este gui\u00f3n, para replicarse por toda la red si es posible. <\/p>\n <\/p>\n Un cl\u00faster de Raspberrys<\/strong>, tras meses de correcto funcionamiento, de repente comenz\u00f3 a caerse cada 24-48 horas<\/strong>. <\/p>\n <\/p>\n <\/p>\n –>\u00a0 3.1 El archivo \/var\/log\/syslog<\/strong><\/em><\/span> ten\u00eda m\u00e1s movimiento que una autopista en fechas de puente y vacaciones. Pues que se estaban a\u00f1adiendo decenas de hosts conocidos al archivo de known_hosts<\/strong><\/em>. Tambi\u00e9n que se est\u00e1 intentando acceder con clave p\u00fablica pero no se consigue. Desde luego que si vemos que se est\u00e1n realizando (o intentando realizar) decenas de conexiones por segundo a nuestra m\u00e1quina, se trata de un ataque. <\/p>\n Otras l\u00edneas del archivo \/var\/log\/syslog<\/a><\/strong><\/em>\u00a0tambi\u00e9n mostraban que el proceso zmap<\/strong><\/em> estaba haciendo de las suyas (escaneando la red y buscando gateways<\/em>, nodos, y otros hosts<\/em> en la red … ):<\/p>\n <\/p>\n Aunque en este punto sabemos que estamos bajo ataque y nos han entrado hasta la cocina, vamos a revisar alg\u00fan archivo de log m\u00e1s, para aportar datos: <\/p>\n –> 3.2 El archivo \/var\/log\/auth.log<\/strong><\/em> monitoriza todos los intentos de autenticaci\u00f3n.<\/span><\/p>\n <\/p>\n –> 3.3 El archivo \/var\/log\/btmp.log<\/strong><\/em> muestra los intentos de inicio de sesi\u00f3n fallidos.<\/span><\/p>\n <\/p>\n <\/p>\n <\/p>\n Tal y como coment\u00e1bamos al principio del post, este malware instala varias librerias, el proceso zmap y ssh pass, y adem\u00e1s puede realiza otros cambios en el sistema de forma que dificulta la limpieza, incluso el acceso. Veamos una lista de acciones que realiza: <\/p>\n En el siguiente enlace podemos ver una explicaci\u00f3n m\u00e1s detallada, y adem\u00e1s una copia del supuesto c\u00f3digo que se ejecuta al infectar la Raspberry Pi:<\/p>\n <\/p>\n Se puede intentar descargar el software de\u00a0DrWeb, versi\u00f3n de prueba<\/a>.<\/p>\n <\/p>\n Tambi\u00e9n podemos probar con Maldet y ClamAV. Hace un tiempo hablamos de Maldet<\/a> en El Taller del Bit.<\/p>\n <\/p>\n Pero lo que parece m\u00e1s adecuado, es la prevenci\u00f3n y anticipaci\u00f3n. Y lo conseguiremos por medio de estas medidas:<\/span><\/p>\n <\/p>\n <\/p>\n <\/p>\n No seas dejado, no dejes tu Raspberry Pi sin securizar<\/strong>. Mol\u00e9state en testear y configurar correctamente tu Raspberry Pi y a\u00f1adir un poco de seguridad siguiendo los consejos que hemos dado en este post, para evitarte posibles desagradables sorpresas, porque el d\u00eda que te entre el Malware Linux.MulDrop.14 puede que te haga mucha pupa… <\/p>\n <\/p>\n <\/p>\n –> Archivo \/var\/log\/syslog<\/strong><\/em>, en el que se puede ver las conexiones y la actividad del malware de Raspberry Pi:<\/p>\n <\/p>\n\n Hace un tiempo que se conoce la existencia de un malware que infecta las Raspberry Pi utilizando fallas de seguridad de SSH. Vamos a ver un caso real de infecci\u00f3n con este malware en Raspberry Pi y las causas y posibles soluciones de seguridad.<\/p>\n","protected":false},"author":1,"featured_media":19649,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false},"categories":[1280],"tags":[706,1128,1119],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts\/19628"}],"collection":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/comments?post=19628"}],"version-history":[{"count":0,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts\/19628\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/media\/19649"}],"wp:attachment":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/media?parent=19628"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/categories?post=19628"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/tags?post=19628"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n <\/p>\n
\nEn este art\u00edculo:<\/p>\n\n
\n
1. Qu\u00e9 hace el Malware Linux.MulDrop.14<\/strong><\/em> en la Raspberry Pi<\/span><\/h3>\n
\n
\nDespu\u00e9s, se supone que utiliza el equipo infectado para “minar<\/em>” criptomonedas<\/a> (aunque nosotros no hemos detectado el proceso “minero<\/em>“, quiz\u00e1s se encuentre oculto de alguna forma).<\/p>\n2. Un caso real de infecci\u00f3n en Raspberry Pi con el Malware\u00a0Linux.MulDrop.14<\/strong><\/em><\/span><\/h3>\n
\nPong\u00e1monos en situaci\u00f3n:<\/p>\n
\n<\/br><\/br>
\nEl Log del cl\u00faster dejaba claro que una de las Raspberrys era la que estaba haciendo caer el cl\u00faster . Esa Raspberry ten\u00eda acceso al exterior, a trav\u00e9s de una DMZ creada en el router, que hac\u00eda dicha Raspberry accesible desde Internet (en concreto por medio de una VPN), pero sin cortafuegos ni reglas de seguridad creadas .. ejem … bravo! … (no se puede ser tan happy, hay que cuidar un poco m\u00e1s la seguridad)
\n<\/br><\/br>
\nInvestigando en dicha Raspberry, ejecutando el comando top<\/em>, para mostrar los procesos, aparecieron algunos procesos “nuevos<\/em>“, como por ejemplo el proceso zmap<\/strong><\/em> y sshpass<\/strong><\/em>.
\n<\/br><\/br>
\nResulta que el proceso zmap<\/strong><\/em> (que hab\u00eda sido instalado por el malware) busca nodos en la red que tengan el puerto 22 abierto<\/strong> (el puerto por defecto para SSH), y luego el proceso sshpass<\/strong><\/em> inicia sesi\u00f3n por SSH<\/strong> con las credenciales por defecto en Raspbian<\/strong>: pi<\/em> \/ raspberry<\/em>
\n<\/br><\/br>
\nO sea, que el malware ya hab\u00eda entrado en la Raspberry desprotegida, que ten\u00eda visibilidad directa con el exterior, y estaba buscando otras m\u00e1quinas en la red para intentar replicarse en ellas …
\n<\/br><\/br>
\nY debido a las acciones que realiza el malware, el cl\u00faster se ca\u00eda, ya que entre otras cosas se paraban diversos procesos.<\/p>\n3. Pruebas de la infecci\u00f3n y de movimientos extra\u00f1os en nuestra Raspberry:<\/span><\/h3>\n
\nVeamos algunas capturas de pantalla que demuestran que tenemos uno o varios visitantes indeseables en nuestra Raspberry Pi:<\/p>\n
\n
\nNormalmente, si la Raspberry no est\u00e1 ejecutando nada, el syslog est\u00e1 bastante quieto.. pero en este caso, a cada segundo aparec\u00edan unas 100 l\u00edneas.<\/p>\n
\n\u00bfY qu\u00e9 dec\u00edan esas l\u00edneas?<\/span><\/p>\n
\n
\nTambi\u00e9n vemos que el atacante est\u00e1 utilizando StorReduce<\/em>, que parecen ser servidores Cloud al estilo de AWS<\/em>.<\/p>\n
\n
\n
\n <\/p>\n\r\nJun 6 21:06:38 mihostname zmap: zmap: zmap main thread started\r\nJun 6 21:06:38 mihostname zmap: zmap: Loaded configuration file \/etc\/zmap\/zmap.conf<\/strong>\r\nJun 6 21:06:38 mihostname zmap: zmap: syslog support enabled\r\nJun 6 21:06:38 mihostname zmap: zmap: requested ouput-module: default\r\nJun 6 21:06:38 mihostname zmap: zmap: no output module provided. will use csv.\r\nJun 6 21:06:38 mihostname zmap: fieldset: probe module does not supply application success field.\r\nJun 6 21:06:38 mihostname zmap: zmap: requested output field (0): saddr\r\nJun 6 21:06:38 mihostname zmap: zmap: scan will abort if more than 1 sendto failures occur\r\nJun 6 21:06:38 mihostname zmap: constraint: Painting value 1\r\nJun 6 21:06:38 mihostname zmap: constraint: 3702243328 IPs in radix array, 26977448 IPs in tree\r\nJun 6 21:06:38 mihostname zmap: constraint: 3702258432 addresses (86% of address space) can be scanned\r\nJun 6 21:06:39 mihostname zmap: zmap: no interface provided. will use default interface (eth0).\r\nJun 6 21:06:39 mihostname zmap: zmap: no source IP address given. will use default address: 192.168.0.181.\r\nJun 6 21:06:39 mihostname rc.local[449]: Jun 06 21:06:39.005 [INFO] zmap: output module: csv\r\nJun 6 21:06:39 mihostname zmap: zmap: found gateway IP 192.168.0.1 on eth0\r\n<\/pre>\n
\n <\/p>\n
\nY en este caso podemos ver c\u00f3mo hay movimientos que implican al archivo \/etc\/hosts.allow<\/strong><\/em> , probablemente para intentar permitir\u00a0replicarse a otros hosts de la red. Adem\u00e1s vemos que se est\u00e1 intentando acceder con el usuario “admin<\/em>” y el usuario “root<\/em>” (usuarios muy t\u00edpicos) desde IP\u00b4s p\u00fablicas muy diversas ..
\n
\nTambi\u00e9n el mensaje de POSSIBLE BREAK-IN ATTEMPT<\/strong><\/em>\u00a0 (POSIBLE INTENTO DE INTRUSI\u00d3N) nos est\u00e1 dejando claro una vez m\u00e1s que estamos bajo ataque y nos est\u00e1n bombardeando con decenas de intentos de login por segundo …
\n <\/p>\n
\n
\n <\/p>\n
\nDe nuevo podemos ver en este archivo cientos de l\u00edneas con cientos de IP\u00b4s que han intentado acceder de forma fallida en el sistema (Caracter\u00edstico de los ataques de FUERZA BRUTA<\/a>). Tambi\u00e9n aparecen algunos nombres de host (servidores) nada nada fiables. De hecho algunos de ellos son perfectamente conocidos por el plugin de seguridad Wordfence<\/a> para WordPress, que directamente los bloquea porque los detecta como bots malignos.
\n
\n
\n
\nTambi\u00e9n hemos de tener en cuenta que si el archivo \/var\/log\/btmp.log\u00a0<\/em>es muy grande, es otra prueba m\u00e1s de que somos el blanco de un ataque, y que se est\u00e1 intentando acceder y encontrar la contrase\u00f1a por el m\u00e9todo de fuerza bruta, a base de intentos y combinaciones de contrase\u00f1as.<\/p>\n4. AN\u00c1LISIS AVANZADO de las acciones que realiza el MALWARE Linux.MulDrop.14 <\/strong><\/em>en la Raspberry Pi<\/span><\/h3>\n
\n <\/p>\n\n
\n
\n <\/p>\n5. SOLUCI\u00d3N<\/span><\/h3>\n
\nCuando ya estamos infectados, no parece haber una soluci\u00f3n facil.. al menos no una que deje el sistema inntacto como antes de la infecci\u00f3n ..<\/p>\n
\n
\n <\/p>\n
\n
\n <\/p>\n
\nHay varios pasos que podemos realizar para conseguir una tapar los agujeros de seguridad de SSH<\/a> en nuestra Raspberry Pi con Raspbian<\/a>:
\n <\/p>\n\n
6. CONCLUSI\u00d3N<\/h3>\n
\n
\nPuede que tengas copia de seguridad de tu Raspberry, pero una intrusi\u00f3n siempre duele, puede que pierdas datos y seguro que pierdes tiempo en reconfigurar todo de nuevo, y adem\u00e1s puede dejar restos de malware en alg\u00fan equipo de la red que no sepas que est\u00e1 infectado ..
\n
\nEn definitiva, sigue este art\u00edculo y a\u00f1ade un poco de seguridad a tu Raspberry Pi !<\/p>\n7. INFO EXTRA sobre el Malware por SSH en Raspberry Pi<\/strong><\/span><\/h3>\n
\n–> Otros enlaces interesantes acerca del Malware en Raspberry Pi:<\/p>\n\n
\r\nroot@mihostname:~# tail -f \/var\/log\/syslog\r\nJun 6 21:05:43 mihostname rc.local[449]: Warning: Permanently added '45.32.133.4' (ECDSA) to the list of known hosts.\r\nJun 6 21:05:43 mihostname rc.local[449]: Warning: Permanently added '207.246.119.248' (ECDSA) to the list of known hosts.\r\nJun 6 21:05:43 mihostname rc.local[449]: Warning: Permanently added '52.66.110.28' (ECDSA) to the list of known hosts.\r\nJun 6 21:05:43 mihostname rc.local[449]: Warning: Permanently added '107.148.142.219' (RSA) to the list of known hosts.\r\nJun 6 21:05:43 mihostname rc.local[449]: Warning: Permanently added '52.66.110.28' (ECDSA) to the list of known hosts.\r\nJun 6 21:05:43 mihostname rc.local[449]: Warning: Permanently added '128.199.242.255' (ECDSA) to the list of known hosts.\r\nJun 6 21:05:43 mihostname rc.local[449]: Warning: Permanently added '45.32.133.4' (ECDSA) to the list of known hosts.\r\nJun 6 21:05:44 mihostname rc.local[449]: Warning: Permanently added '184.103.150.246' (ECDSA) to the list of known hosts.\r\nJun 6 21:05:44 mihostname rc.local[449]: Warning: Permanently added '128.199.242.255' (ECDSA) to the list of known hosts.\r\nJun 6 21:05:44 mihostname rc.local[449]: Warning: Permanently added '184.103.150.246' (ECDSA) to the list of known hosts.\r\nJun 6 21:05:44 mihostname rc.local[449]: Warning: Permanently added '61.215.195.168' (RSA) to the list of known hosts.\r\nJun 6 21:05:44 mihostname rc.local[449]: Warning: Permanently added '61.215.195.168' (RSA) to the list of known hosts.\r\nJun 6 21:05:44 mihostname rc.local[449]: Warning: Permanently added '120.132.53.10' (RSA) to the list of known hosts.\r\nJun 6 21:05:44 mihostname rc.local[449]: Warning: Permanently added '221.131.144.208' (RSA) to the list of known hosts.\r\nJun 6 21:05:44 mihostname rc.local[449]: Warning: Permanently added '221.131.144.208' (RSA) to the list of known hosts.\r\nJun 6 21:05:44 mihostname rc.local[449]: Warning: Permanently added '120.132.53.10' (RSA) to the list of known hosts.\r\nJun 6 21:05:45 mihostname rc.local[449]: Warning: Permanently added '12.227.47.56' (RSA) to the list of known hosts.\r\nJun 6 21:05:45 mihostname rc.local[449]: Warning: Permanently added '12.227.47.56' (RSA) to the list of known hosts.\r\nJun 6 21:05:45 mihostname rc.local[449]: Warning: Permanently added '187.17.198.54' (RSA) to the list of known hosts.\r\nJun 6 21:05:45 mihostname rc.local[449]: Warning: Permanently added '178.60.25.229' (RSA) to the list of known hosts.\r\nJun 6 21:05:45 mihostname rc.local[449]: Warning: Permanently added '187.17.198.54' (RSA) to the list of known hosts.\r\nJun 6 21:05:45 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:45 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:45 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:45 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:45 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:45 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:45 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:45 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: ssh: connect to host 188.245.81.131 port 22: No route to host\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password,keyboard-interactive).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password,keyboard-interactive).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:47 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:47 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:47 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:47 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:47 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:47 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:47 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:47 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:47 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:47 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:48 mihostname rc.local[449]: Permission denied (publickey,gssapi-with-mic,password).\r\nJun 6 21:05:48 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:48 mihostname rc.local[449]: Permission denied (publickey,gssapi-with-mic,password).\r\nJun 6 21:05:48 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:48 mihostname rc.local[449]: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).\r\nJun 6 21:05:48 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:48 mihostname rc.local[449]: Warning: Permanently added '178.60.25.229' (RSA) to the list of known hosts.\r\nJun 6 21:05:48 mihostname rc.local[449]: Permission denied (password).\r\nJun 6 21:05:48 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:48 mihostname rc.local[449]: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).\r\nJun 6 21:05:48 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:48 mihostname rc.local[449]: Permission denied (password).\r\nJun 6 21:05:48 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:48 mihostname rc.local[449]: ssh: connect to host 46.62.196.135 port 22: Connection timed out\r\nJun 6 21:05:48 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:48 mihostname rc.local[449]: ssh: connect to host 188.245.81.131 port 22: Connection timed out\r\nJun 6 21:05:48 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:48 mihostname rc.local[449]: ssh: connect to host 46.62.196.135 port 22: Connection timed out\r\nJun 6 21:05:48 mihostname rc.local[449]: lost connection\r\nJun 6 21:06:33 mihostname rc.local[449]: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).\r\nJun 6 21:06:33 mihostname rc.local[449]: lost connection\r\nJun 6 21:06:33 mihostname rc.local[449]: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).\r\nJun 6 21:06:33 mihostname rc.local[449]: lost connection\r\nJun 6 21:06:33 mihostname rc.local[449]: ssh_exchange_identification: read: Connection reset by peer\r\nJun 6 21:06:33 mihostname rc.local[449]: lost connection\r\nJun 6 21:06:34 mihostname rc.local[449]: ssh_exchange_identification: read: Connection reset by peer\r\nJun 6 21:06:34 mihostname rc.local[449]: lost connection\r\nJun 6 21:06:34 mihostname rc.local[449]: ssh_exchange_identification: read: Connection reset by peer\r\nJun 6 21:06:34 mihostname rc.local[449]: lost connection\r\nJun 6 21:06:34 mihostname rc.local[449]: ssh: connect to host 181.199.128.197 port 22: Connection timed out\r\nJun 6 21:06:34 mihostname rc.local[449]: lost connection\r\nJun 6 21:06:34 mihostname rc.local[449]: Connection timed out during banner exchange\r\nJun 6 21:06:34 mihostname rc.local[449]: lost connection\r\nJun 6 21:06:38 mihostname zmap: zmap: zmap main thread started\r\nJun 6 21:06:38 mihostname zmap: zmap: Loaded configuration file \/etc\/zmap\/zmap.conf<\/strong>\r\nJun 6 21:06:38 mihostname zmap: zmap: syslog support enabled\r\nJun 6 21:06:38 mihostname zmap: zmap: requested ouput-module: default\r\nJun 6 21:06:38 mihostname zmap: zmap: no output module provided. will use csv.\r\nJun 6 21:06:38 mihostname zmap: fieldset: probe module does not supply application success field.\r\nJun 6 21:06:38 mihostname zmap: zmap: requested output field (0): saddr\r\nJun 6 21:06:38 mihostname zmap: zmap: scan will abort if more than 1 sendto failures occur\r\nJun 6 21:06:38 mihostname zmap: constraint: Painting value 1\r\nJun 6 21:06:38 mihostname zmap: constraint: 3702243328 IPs in radix array, 26977448 IPs in tree\r\nJun 6 21:06:38 mihostname zmap: constraint: 3702258432 addresses (86% of address space) can be scanned\r\nJun 6 21:06:39 mihostname zmap: zmap: no interface provided. will use default interface (eth0).\r\nJun 6 21:06:39 mihostname zmap: zmap: no source IP address given. will use default address: 192.168.0.181.\r\nJun 6 21:06:39 mihostname rc.local[449]: Jun 06 21:06:39.005 [INFO] zmap: output module: csv\r\nJun 6 21:06:39 mihostname zmap: zmap: found gateway IP 192.168.0.1 on eth0\r\nJun 6 21:06:39 mihostname zmap: send: gateway MAC address 8c:34:fd:58:82:8c\r\nJun 6 21:06:39 mihostname zmap: zmap: output module: csv\r\nJun 6 21:06:39 mihostname zmap: zmap: Isomorphism: 12\r\nJun 6 21:06:39 mihostname zmap: send: srcip_first: 3036719296\r\nJun 6 21:06:39 mihostname zmap: send: srcip_last: 3036719296\r\nJun 6 21:06:39 mihostname zmap: send: will send from 1 address on 28233 source ports\r\nJun 6 21:06:39 mihostname zmap: send: no source MAC provided. automatically detected b8:27:eb:59:b1:10 as hw interface for eth0\r\nJun 6 21:06:39 mihostname zmap: send: source MAC address b8:27:eb:59:b1:10\r\nJun 6 21:06:39 mihostname zmap: zmap: Pinning receive thread to core 0\r\nJun 6 21:06:39 mihostname zmap: recv: recv thread started\r\nJun 6 21:06:39 mihostname zmap: recv: capturing responses on eth0\r\nJun 6 21:06:39 mihostname kernel: [ 244.452056] device eth0 entered promiscuous mode\r\nJun 6 21:06:39 mihostname zmap: recv: duplicate responses will be excluded from output\r\nJun 6 21:06:39 mihostname zmap: recv: unsuccessful responses will be excluded from output\r\nJun 6 21:06:39 mihostname rc.local[449]: 0:00 0%; send: 69 0 p\/s (749 p\/s avg); recv: 0 0 p\/s (0 p\/s avg); drops: 0 p\/s (0 p\/s avg); hitrate: 0.00%\r\nJun 6 21:06:39 mihostname zmap: zmap: 2 sender threads spawned\r\nJun 6 21:06:39 mihostname rc.local[449]: 0:00 0%; send: 585 102 Kp\/s (6.03 Kp\/s avg); recv: 0 0 p\/s (0 p\/s avg); drops: 0 p\/s (0 p\/s avg); hitrate: 0.00%\r\nJun 6 21:06:39 mihostname zmap: zmap: Pinning a send thread to core 1\r\nJun 6 21:06:39 mihostname zmap: send: send thread started\r\nJun 6 21:06:39 mihostname zmap: send: source MAC address b8:27:eb:59:b1:10\r\nJun 6 21:06:39 mihostname zmap: zmap: Pinning a send thread to core 2\r\nJun 6 21:06:39 mihostname zmap: zmap: Pinning monitor thread to core 3\r\nJun 6 21:06:39 mihostname zmap: send: send thread started\r\nJun 6 21:06:39 mihostname zmap: send: source MAC address b8:27:eb:59:b1:10\r\nJun 6 21:06:40 mihostname rc.local[449]: 0:01 11%; send: 46521 45.9 Kp\/s (42.4 Kp\/s avg); recv: 0 0 p\/s (0 p\/s avg); drops: 0 p\/s (0 p\/s avg); hitrate: 0.00%\r\nJun 6 21:06:41 mihostname rc.local[449]: 0:02 21%; send: 94052 47.5 Kp\/s (44.8 Kp\/s avg); recv: 0 0 p\/s (0 p\/s avg); drops: 0 p\/s (0 p\/s avg); hitrate: 0.00%\r\nJun 6 21:06:41 mihostname zmap: send: send thread 0 finished (max targets of 50000 reached)\r\nJun 6 21:06:41 mihostname zmap: send: thread 0 finished\r\nJun 6 21:06:41 mihostname zmap: send: send thread 1 finished (max targets of 50000 reached)\r\nJun 6 21:06:41 mihostname zmap: send: thread 1 finished\r\nJun 6 21:06:41 mihostname zmap: zmap: senders finished\r\n<\/pre>\n