<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div></div><div>Still going on - interesting how they came up with SHSTEM, SHSTEMT etc weird accounts to try</div><div><a href="http://sanyalnet-openvms-vax.freeddns.org:82/falserver/intrusions.txt">http://sanyalnet-openvms-vax.freeddns.org:82/falserver/intrusions.txt</a></div><div><br></div><div><br>On Nov 16, 2016, at 1:11 PM, Joe Ferraro <<a href="mailto:jferraro@gmail.com">jferraro@gmail.com</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr"><div>I'm a bit late on this thread, but it was, more-than-likely the Mirai bot (which was subsequently responsible for the internet-wide DDOS a few weeks ago).. at least that was what kept hitting my VAX several times a second, until I limited my tcp connection rate to 23/tcp. <br><br></div><div>Reading the code when it was released, it was pure happenstance that it tried the "system" account (the code for Mirai made it out a day or so after the attack....). <br><br></div><div>Apologies if this was already a part of this thread (I don't see the entirety of the thread on this device..).<br><br></div><div><br><br></div><div>\fwiw<br><br></div><div>joe<br> </div><div><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Oct 25, 2016 at 10:48 AM, Sampsa Laine <span dir="ltr"><<a href="mailto:sampsa@mac.com" target="_blank">sampsa@mac.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Guys,<br>
<br>
I basically had HILANT:: totally lose the plot because of these telnet botnets that are hitting port 23/tcp all over the place.<br>
<br>
Have any of you guys been affected? I have a feeling as I’ve got a Finnish IP address I might be one of the Lucky Winners of Putin’s latest ragefest.<br>
<br>
FYI, these scripts are smarter than the usual root/Administrator scripts - I logged in and there had been over 49,000 attempts to log in to the SYSTEM account…<br>
<br>
Anyway, I’ve changed the NAT forwarding to another port (if you happen to use HILANT:: via Telnet it’s now at telnet://<a href="http://hilant.sampsa.com:2389" rel="noreferrer" target="_blank">hilant.sampsa.com:238<wbr>9</a>.<br>
<br>
Also, is renaming the SYSTEM account likely to break stuff? They seem to be targeting that specific username so I figured I’d change it to STALIN or something…<br>
<span class="gmail-m_6581364316022678906HOEnZb"><font color="#888888"><br>
Sampsa<br>
<br>
<br>
</font></span></blockquote></div><br></div></div>
</div></blockquote></body></html>