| View previous topic :: View next topic |
| Author |
Message |
c_m
Guru
Joined: 29 Jun 2005
Posts: 358
|
 Posted: Wed Feb 01, 2006 7:34 am Post subject: [DUP] Angriff auf sshd |
 |
|
Hallo Leute,
mir ist gestern bei der Lektüre meines Logfiles aufgefallen, dass irgendjemand versucht per bruteforce auf den sshd zu kommen.
Bis jetzt scheints erfolglos zu sein und ich habe auch gleich mal mein passwort geändert (etwas sicherer).
Das ganze läuft seit Tagen nach folgendem Motto ab:
| Code: | Jan 27 23:54:46 TuxBox sshd[12147]: Invalid user public from 84.37.11.40
Jan 27 23:54:46 TuxBox sshd[12152]: Invalid user sysadmin from 84.37.11.40
Jan 27 23:54:47 TuxBox sshd[12162]: Invalid user prueba from 84.37.11.40
Jan 27 23:54:47 TuxBox sshd[12167]: Invalid user prueba from 84.37.11.40
Jan 28 21:06:02 TuxBox sshd[15844]: Invalid user test from 203.144.229.199
Jan 28 21:06:10 TuxBox sshd[15855]: User guest not allowed because shell /dev/null is not executable
Jan 29 16:55:11 TuxBox sshd[20056]: Did not receive identification string from 221.1.104.208
Jan 29 17:00:36 TuxBox sshd[20088]: Invalid user test from 221.1.104.208
Jan 29 17:00:44 TuxBox sshd[20093]: Invalid user test from 221.1.104.208
Jan 29 17:00:54 TuxBox sshd[20098]: Invalid user test from 221.1.104.208
Jan 29 17:01:03 TuxBox sshd[20103]: Invalid user test from 221.1.104.208
Jan 29 17:01:09 TuxBox sshd[20108]: Invalid user test from 221.1.104.208
Jan 29 17:01:19 TuxBox sshd[20113]: Invalid user test from 221.1.104.208
Jan 29 17:01:26 TuxBox sshd[20118]: Invalid user test from 221.1.104.208
Jan 29 17:01:34 TuxBox sshd[20123]: Invalid user test from 221.1.104.208
Jan 30 05:46:52 TuxBox sshd[24925]: Did not receive identification string from 200.47.112.149
Jan 30 05:52:10 TuxBox sshd[24951]: Invalid user staff from 200.47.112.149
Jan 30 05:52:10 TuxBox sshd[24951]: reverse mapping checking getaddrinfo for 200-47-112-149.comsat.net.ar failed - POSSIBLE BREAKIN ATTEMPT!
Jan 30 05:52:13 TuxBox sshd[24956]: Invalid user sales from 200.47.112.149
Jan 30 05:52:13 TuxBox sshd[24956]: reverse mapping checking getaddrinfo for 200-47-112-149.comsat.net.ar failed - POSSIBLE BREAKIN ATTEMPT!
Jan 30 05:52:15 TuxBox sshd[24963]: Invalid user recruit from 200.47.112.149
Jan 30 05:52:16 TuxBox sshd[24963]: reverse mapping checking getaddrinfo for 200-47-112-149.comsat.net.ar failed - POSSIBLE BREAKIN ATTEMPT! |
Bis jetzt gibts keine Anzeichen dafür, dass der Angreifer erfolg hatte, aber es wäre schön wenn das auch so bleibt.
Gibt es ne Möglichkeit dem entgegen zu wirken, außer den ssh Port dicht zu machen?
Gruß
c_m
//Edit: sowohl ip als auch der provider part des hostnamen ändern sich des öffteren. Die angriffe fanden bis jetzt aber kontinuierlich statt, so dass ich von einem einzelnen ausgehe.
_________________
This must be thursday ... |
|
| Back to top |
|
 |
Lenz
Veteran
Joined: 17 Jul 2003
Posts: 1439
Location: Marburg [HE, D, EU]
|
| Posted: Wed Feb 01, 2006 7:57 am Post subject: |
|
|
Tjo, das ist wohl mehr oder weniger "normal", wenn man sshd am Laufen hat. Eine einfache Möglichkeit, dem entgegenzuwirken, ist, ssh auf einen anderen Port zu legen (einfach nicht den Standardport verwenden).
Rootlogin sollte man verbieten, so veringert sich die Erfolgschance dieser Bots erheblich (weil sie dann sowohl den Usernamen als auch das Passwort herausfinden müssen). Und mittels "su" bekommst du ja auf jedenfall nach wie vor vollen Zugriff. Langes und kompliziertes Passwort ist auch nicht verkehrt.
_________________
.:: Lenz' Signature 1.7b ::.
| Gentoo Linux since v1.4 (08-2003) [Screenshot]
| NetHack Highscore: 5.476.380 Pts., Val-Dwa-Fem-Law, ~ ascended to demigoddess-hood ~ |
|
| Back to top |
|
|
cng
Guru
Joined: 25 Feb 2004
Posts: 332
Location: Appenzell
|
| Posted: Wed Feb 01, 2006 8:13 am Post subject: |
|
|
ich hatte auch schon einmal das problem, dass jemand versucht hat auf
mein system zuzugreifen. nach über einer woche hatte ich die nase voll
und wertete die ip aus. die ips stammen von der t-online. die haben eine
seite, bei welcher man solche sachen angeben konnte. ich bekam eine
bestätigung, dass sie wissen, welcher dialup user es sei. aber mehr
passierte nicht. die hacks gingen weiter. erst als ich mit gegenmassnahmen
drohte, hörten die zugriffsversuche blitzartig auf. einmal musste ich auch
mein provider einbeziehen, damit eine spammailflut gestopt wurde. dort
wars ein us-provider. auch von dort habe ich ruhe....
die österreicher haben da ne seite wo man daten abrufen kann whois usw..
_________________
Gentoo-Community - Your family
##################### |
|
| Back to top |
|
|
c_m
Guru
Joined: 29 Jun 2005
Posts: 358
|
| Posted: Wed Feb 01, 2006 8:34 am Post subject: |
|
|
Ich hab jetzt erstmal den Port geändert und root login abgestellt (nurnoch über wheel-User möglich).
Danke für die anregung mit der Whois seite! Werd ich drauf zurück kommen wenn nochmal was passiert. 
//Edit: Hast du ggf. noch die Links von den Melde-/WHoisseiten die du genutzt hast??
_________________
This must be thursday ... |
|
| Back to top |
|
|
_hephaistos_
Advocate
Joined: 07 Apr 2004
Posts: 2694
Location: salzburg, austria
|
| Posted: Wed Feb 01, 2006 8:50 am Post subject: |
|
|
eventuell, wenn nur gewisse leute auf ssh zugriff haben - und das auch nur manchmal:
könnte ev. net-misc/knock ein nettes tool sein:
http://www.zeroflux.org/knock/
_________________
-l: signature: command not found |
|
| Back to top |
|
|
76062563
l33t
Joined: 16 Aug 2004
Posts: 637
Location: 127.0.0.1
|
| Posted: Wed Feb 01, 2006 10:55 am Post subject: |
|
|
| c_m wrote: | | ... //Edit: Hast du ggf. noch die Links von den Melde-/WHoisseiten die du genutzt hast?? |
_________________
gentoo - compile your own world |
|
| Back to top |
|
|
cng
Guru
Joined: 25 Feb 2004
Posts: 332
Location: Appenzell
|
| Posted: Wed Feb 01, 2006 11:08 am Post subject: |
|
|
oder http://who-is.at/
das mit der meldestelle fand ich nicht mehr.
ich habe damals die ip-adressen im webbrowser
eingegeben und kam so auf die ensprechende seite
(infotext)
_________________
Gentoo-Community - Your family
##################### |
|
| Back to top |
|
|
cng
Guru
Joined: 25 Feb 2004
Posts: 332
Location: Appenzell
|
|
| Back to top |
|
|
mrsteven
Veteran
Joined: 04 Jul 2003
Posts: 1938
|
| Posted: Wed Feb 01, 2006 11:23 am Post subject: |
|
|
Du solltest auch noch das Login per Passwort deaktivieren und stattdessen lieber die Identity/Pubkey Authentifizierung verwenden. Wie das geht, steht zum Beispiel  hier.
_________________
Unix philosophy: "Do one thing and do it well."
systemd: "Do everything and do it wrong." |
|
| Back to top |
|
|
c_m
Guru
Joined: 29 Jun 2005
Posts: 358
|
| Posted: Wed Feb 01, 2006 11:44 am Post subject: |
|
|
| mrsteven wrote: | | Du solltest auch noch das Login per Passwort deaktivieren und stattdessen lieber die Identity/Pubkey Authentifizierung verwenden. Wie das geht, steht zum Beispiel hier. |
Das ist natürlich ne sehr coole lösung. Mir schwebt da grad ein USB-Stick mit zertifikat vor Augen )
_________________
This must be thursday ... |
|
| Back to top |
|
|
dertobi123
Retired Dev
Joined: 19 Nov 2002
Posts: 2679
Location: Oberhausen, Germany
|
| Posted: Wed Feb 01, 2006 12:15 pm Post subject: |
|
|
| Was zum Teufel ist so schwierig daran die Suchfunktion zu benutzen? |
|
| Back to top |
|
|
amne
Bodhisattva
Joined: 17 Nov 2002
Posts: 6378
Location: Graz / EU
|
|
| Back to top |
|
|
|
Deutsches Forum (German) 
