<div dir="ltr"><div>I'm a bit late on this thread, but it was, more-than-likely the Mirai bot (which was subsequently responsible for the internet-wide DDOS a few weeks ago).. at least that was what kept hitting my VAX several times a second, until I limited my tcp connection rate to 23/tcp. <br><br></div><div>Reading the code when it was released, it was pure happenstance that it tried the "system" account (the code for Mirai made it out a day or so after the attack....). <br><br></div><div>Apologies if this was already a part of this thread (I don't see the entirety of the thread on this device..).<br><br></div><div><br><br></div><div>\fwiw<br><br></div><div>joe<br> </div><div><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Oct 25, 2016 at 10:48 AM, Sampsa Laine <span dir="ltr"><<a href="mailto:sampsa@mac.com" target="_blank">sampsa@mac.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Guys,<br>
<br>
I basically had HILANT:: totally lose the plot because of these telnet botnets that are hitting port 23/tcp all over the place.<br>
<br>
Have any of you guys been affected? I have a feeling as I’ve got a Finnish IP address I might be one of the Lucky Winners of Putin’s latest ragefest.<br>
<br>
FYI, these scripts are smarter than the usual root/Administrator scripts - I logged in and there had been over 49,000 attempts to log in to the SYSTEM account…<br>
<br>
Anyway, I’ve changed the NAT forwarding to another port (if you happen to use HILANT:: via Telnet it’s now at telnet://<a href="http://hilant.sampsa.com:2389" rel="noreferrer" target="_blank">hilant.sampsa.com:238<wbr>9</a>.<br>
<br>
Also, is renaming the SYSTEM account likely to break stuff? They seem to be targeting that specific username so I figured I’d change it to STALIN or something…<br>
<span class="gmail-m_6581364316022678906HOEnZb"><font color="#888888"><br>
Sampsa<br>
<br>
<br>
</font></span></blockquote></div><br></div></div>