Seit gestern bemerke ich ungewöhnliche Einträge in meinen Server-Logs:


Jul 23 22:42:41 Nihilanth sshd[13321]: Illegal user test from 61.222.126.140
Jul 23 22:42:41 Nihilanth sshd[13321]: error: Could not get shadow information for NOUSER
Jul 23 22:42:41 Nihilanth sshd[13321]: Failed password for illegal user test from 61.222.126.140 port 50576 ssh2
Jul 23 22:42:44 Nihilanth sshd[13323]: User guest not allowed because shell /dev/null is not executable
Jul 23 22:42:44 Nihilanth sshd[13323]: error: Could not get shadow information for NOUSER
Jul 23 22:42:44 Nihilanth sshd[13323]: Failed password for illegal user guest from 61.222.126.140 port 51332 ssh2


Jul 24 04:43:59 Nihilanth sshd[19768]: fatal: Timeout before authentication for 217.81.8.57
Jul 24 04:48:53 Nihilanth sshd[19771]: Illegal user test from 216.86.221.113
Jul 24 04:48:53 Nihilanth sshd[19771]: Address 216.86.221.113 maps to adsl-gte-la-216-86-215-113.mminternet.com, but this do
es not map back to the address - POSSIBLE BREAKIN ATTEMPT!
Jul 24 04:48:53 Nihilanth sshd[19771]: error: Could not get shadow information for NOUSER
Jul 24 04:48:53 Nihilanth sshd[19771]: Failed password for illegal user test from 216.86.221.113 port 42330 ssh2
Jul 24 04:48:55 Nihilanth sshd[19773]: User guest not allowed because shell /dev/null is not executable
Jul 24 04:48:55 Nihilanth sshd[19773]: Address 216.86.221.113 maps to adsl-gte-la-216-86-215-113.mminternet.com, but this do
es not map back to the address - POSSIBLE BREAKIN ATTEMPT!
Jul 24 04:48:55 Nihilanth sshd[19773]: error: Could not get shadow information for NOUSER
Jul 24 04:48:55 Nihilanth sshd[19773]: Failed password for illegal user guest from 216.86.221.113 port 38838 ssh2

Was haltet ihr davon? Muss ich mir Sorgen machen?

moin,

kann dir dazu nichts genaues sagen, aber für mich sieht es aus, als wenn nur jemand versucht hat, eine ssh connection aufzubauen.
aber ohne korrekte accountdaten ist dies leider schief gegangen.

naja, diejenigen, die dieses besser interpretieren können werden nach dem ausschlafen sicherlich was passendes dazu schreiben ;)

cu

Du scheinst ja direkt am Internet zu hängen. Hast du dann keine Firewall? Bzw. ist es nötig ssh ins Internet freizugeben?

MfG

Hallo,
Ich hänge nicht direkt am Internet und die hohen Ports aus den Logs sind bei mir auch nicht forwarded.
Ich möchte SSH eigentlich nicht auf mein Netzwerk beschränken, das war mir schon häufiger eine grosse Hilfe.
Ich bin nur besorgt, weil diese Meldungen seit gestern häufiger auftauchen...

Jo, sind wohl Skriptkiddies die nach den Usern "Test" und "Guest" suchen, welche wohl von irgendeiner Applikation angelgt werden. Sie Scannen so scheint es wahllos IP Ranges. Auf allen unseren öffentlichen Server haben wir seid ca. 3 Wochen solche "Angriffe" :)

Lass mal deinen sshd auf einem anderen Port lauschen, dann entgehst Du wenigstens den automatisierten Scans.

Seit gestern bemerke ich ungewöhnliche Einträge in meinen Server-Logs:





Was haltet ihr davon? Muss ich mir Sorgen machen?

Sowas hatte ich auch mal. Leider versuchte sich einer über den User Admin einzugloggen --> Das waren doch so Scripkiddies

Wenn du den SSHD schon ins Internet freigibst, solltest du zumindest folgendes aktivieren:

- als root darf man sich nicht einloggen
- Anmeldung nur über Public/Private Key, die Anmeldung über Passwort grundsätzlich verbieten

Dann kann man ihn doch guten Gewissens freigeben.

Du kannst den SSHD übrigens weiterhin auf Port 22 laufen lassen und den automatisierten Scans entgehen. Stichwort lautet portknocking (http://www.portknocking.org/)
Bubble

Wenn du den SSHD schon ins Internet freigibst, solltest du zumindest folgendes aktivieren:

- als root darf man sich nicht einloggen
- Anmeldung nur über Public/Private Key, die Anmeldung über Passwort grundsätzlich verbieten

Dann kann man ihn doch guten Gewissens freigeben.

Du kannst den SSHD übrigens weiterhin auf Port 22 laufen lassen und den automatisierten Scans entgehen. Stichwort lautet portknocking (http://www.portknocking.org/)
Bubble

Hast du erfahrung mit Portnocking? Kann ich das "normale" Putty weiterverwenden?

Nein hab leider noch keine praktische Erfahrung damit.

Vom Prinzip her kannst du putty natürlich weiterverwenden, es ändert sich weder was am Server noch am Protokoll noch am Client. Der Trick ist einfach, dass der Server erst nach einer bestimmten Paketsequenz auf diesem Port lauscht. Dazu werden AFAIK Log-Einträge von iptables überwacht.

Bekommt der Rechner diese spezielle Sequenz geschickt, fängt der SSH-Server auf Port 22 an zu lauschen, und du kannst dich normal damit verbinden.

Die Sequenz wird von einem sog. knock-client geschickt. Der ist AFAIK in Perl geschrieben und sollte daher auch unter Windows einsetzbar sein. Natürlich muss dann vor dem Aufruf von putty der knock-client die Sequenz schicken, dies ließe sich unter Windows (ich gehe mal davon aus, da du von putty schreibst, dass du einen Win-Client hast) in einer Batch-Datei automatisieren.
Bubble

So, heute habe ich meine /var/log/messages per Mail erhalten.

Jul 22 18:13:40 linux sshd[539]: Failed password for illegal user test from ::ffff:211.119.136.170 port 56450 ssh2
Jul 22 18:13:44 linux sshd[540]: Failed password for illegal user guest from ::ffff:211.119.136.170 port 56564 ssh2
Jul 23 03:29:36 linux sshd[10245]: Failed password for illegal user test from ::ffff:81.15.22.45 port 3367 ssh2
Jul 23 03:29:37 linux sshd[10246]: Failed password for illegal user guest from ::ffff:81.15.22.45 port 3368 ssh2
Jul 25 08:04:08 linux sshd[2492]: Failed password for illegal user test from ::ffff:61.222.98.114 port 3852 ssh2
Jul 25 16:57:06 linux sshd[20952]: Failed password for illegal user test from ::ffff:61.193.179.162 port 52973 ssh2
Jul 25 16:57:09 linux sshd[20953]: Failed password for illegal user guest from ::ffff:61.193.179.162 port 53052 ssh2

Zum Glück gibt es ripe:

inetnum: 211.119.134.0 - 211.119.137.255
netname: DACOM-KIDC-KR
descr: DACOM
descr: 261-1 Nonhyun-dong Kangnam-gu
descr: SEOUL
descr: 135-010
country: KR
admin-c: SC760-AP
tech-c: TK283-AP
mnt-by: MAINT-KR-DACOM
status: ASSIGNED NON-PORTABLE
remarks: imported from KRNIC
changed: hm-changed@apnic.net 20021025
source: APNIC

person: Sanggyu Chang
address: DACOM
address: 261-1 Nonhyun-dong Kangnam-gu
address: SEOUL
address: 135-010
country: KR
phone: +82-2-6440-2920
fax-no: +82-2-6440-2909
e-mail: support@kidc.net
nic-hdl: SC760-AP
mnt-by: MAINT-KR-DACOM
remarks: imported from KRNIC
changed: hm-changed@apnic.net 20021022
source: APNIC

person: Taeung Kim
address: DACOM
address: 261-1 Nonhyun-dong Kangnam-gu
address: SEOUL
address: 135-010
country: KR
phone: +82-2-6220-2920
fax-no: +82-2-6220-2909
e-mail: support@kidc.net
nic-hdl: TK283-AP
mnt-by: MAINT-KR-DACOM
remarks: imported from KRNIC
changed: hm-changed@apnic.net 20021022
source: APNIC


----

netnum: 81.15.20.0 - 81.15.27.255
netname: IS-EMAX
descr: eMax ehf
country: IS
admin-c: SB2054-RIPE
tech-c: eH499-RIPE
status: ASSIGNED PA
mnt-by: LINANET-MNT
notify: noc@lina.net
changed: markom@lina.net 20030813
source: RIPE

route: 81.15.0.0/17
origin: AS15605
descr: Lina.net network
mnt-by: LINANET-MNT
notify: noc@lina.net
changed: markom@lina.net 20030813
source: RIPE

person: Sinisa Burina
address: eMax ehf.
address: Hlidasmari 8
address: 201 Kopavogur
address: Iceland
phone: +354 544 4454
e-mail: six@emax.is
nic-hdl: SB2054-RIPE
mnt-by: EMAX-MNT
notify: six@emax.is
changed: six@emax.is 20031020
source: RIPE

person: eMax Hostmaster
address: eMax ehf.
address: Hlidasmari 8
address: 201 Kopavogur
address: Iceland
phone: +354 5444454
e-mail: hostmaster@emax.is
nic-hdl: eH499-RIPE
notify: hostmaster@emax.is
notify: six@emax.is
mnt-by: EMAX-MNT
changed: six@emax.is 20031020
source: RIPE

Was micht ihr bei so fällen? Schreibt ihr den Provider an?

Gruess
reto2000

Moin,

auch wenn du stolz die angreifer representierst sollten sie meiner meinung nach dir ueberlassen bleiben und sollten nicht der "welt" auf nen scheiterhaufen presentiert werden, denn sonst kommen noch andere (als die dich "angegriffen" haben) und rufen die noch an etc.
Auch wenn sie *******e bauen, sollten sie nur dir bekannt sein.

MfG bert2002

habe erst gedacht,das weil der so viele verschiedene ports auf ssh scannt, der vieleicht doch nicht automatisiert ist...aber naja, die ports sind zu wahrlos, und die zeiten zwischen den einzelnen scans sind zu gross, als das sie gezielt gestartet wurden.

Würde sagen, das da wirklich einfach nur paar bots regelmassig bei dir vorbei schauen..

Die auskunft der Ripe würde ich sagen, kannste über den haufen werfen..
das kann der gehackte rechner eines schon mal befallenem sein, oder ein public proxy in island..glaube nicht, das sich da eine grosse verfolgung lohnt, den der herr, der da eingetragen ist, ist sicherlich nicht der jenige ,der die scanns startet....
Kannst ihn ja benachichtigen, das sein server für illigale aktivitaten verwand wird( ist glaube ich schon illigal, weil allein das scannen von systemen ist schon straffällig)

Aber ob es erfolg bringt....ich glaube mal nicht..

Kannst ihn ja benachichtigen, das sein server für illigale aktivitaten verwand wird( ist glaube ich schon illigal, weil allein das scannen von systemen ist schon straffällig)

Das ist falsch - der Scan eines beliebigen Rechners ist nicht illegal.
Illegal wäre er wenn so intensiv gescannt wird das ein Dienst nicht mehr erreichbar ist.

mfg
cane

meine mal gehört zu haben, das dir allein schon ein scan, wenn man wohl will, als vorbereitung für eine weitere straftat angedichtet werden kann..ok, ich weis ist natürlich sehr schwer zu halten...


Ich glaube sogar hier im forum, war mal die idee, nen firewall script zu schreiben, der den jenigen der einen scannt, zurück zu scannen.....aber so aus blosser erinnerung meine ich war das resumee des threads, das man das ja nicht dürfe...

aber fand auch immer etwas seltsam, das es nicht erlaubt sein dürfe...
aber dachte mir, bevor du dich in eine grauzone des gesetzt begibst, wo du nicht weist, was dir vieleicht blühen kann, habe ich das mal so riegeros in die kategorie "nicht erlaubt" gepackt...
Ahnlich wie das Thema CDS für den HEimgebrauch brennen...war (ist ?) ja auch lange zeit schon ein thema, wo man 10 leute fragt, und 11 antworten bekommt....

Wäre aber dankbar, wenn das mal jemand aufklären könnte, in wie fern portscanns( ohne dienstblockade) denn nun erlaubt sind, wenn es sich nicht um die eigenen rechner handelt, sprich, ich einfach mal wild fremde rechner scanne...

Würde mich rein aus interesse mal interessieren

EDIT :

--------------------------------------
Habe das hier gerade mal im Usenet gefunden
Zitat :

> Man könnte systematische Portscans durchaus als Einbruchsversuch
> interpretieren.

§ 202a StGB kennt aber keinen Versuch.


Kann man das so stehen lassen ??
Oder gibt es vieleicht andere als 202a, die bei diesem Thema "greifen" könnten ?

Habe das hier gerade mal im Usenet gefunden
Zitat :

> Man könnte systematische Portscans durchaus als Einbruchsversuch
> interpretieren.

§ 202a StGB kennt aber keinen Versuch.


Kann man das so stehen lassen ??
Oder gibt es vieleicht andere als 202a, die bei diesem Thema "greifen" könnten ?

Quelle? Wer hat das geschrieben?

Sicher ist es ein Unterschied ob jemand systematisch (regelmäßig) nach Lücken scannt oder nur so mal anklopft.

Dazu müsste man aber erst mal "systematisch" definieren. Direkt zurück scannen ist Schwachsinn, weil das 1. eh den falschen trifft und 2. ist Selbstjustiz nicht erlaubt.

Hallo,

soweit ich mich erinnere, sind portscans nicht illegal, weilKlingelstreiche, was Portscans ja nunmal sind, ja auch nicht illegal sind (fand den Vergleich so geil, also nicht so ganz wörtlich nehmen :D ). Wenn man sich nun den Zugang verschafft, durch weitere Aktivitäten, dann ist es illegal.

Gruss Robert

Portscans dürften auch nicht illegal sein, das es sich um die Aussnutzung einer regulären Eigenschaft des Protokolls handelt. Zumindest bei einem Connect-Scan. In der Tat dürfte ein Scan allerdings als ein Umschauen gewertet werden. Aber auch in einer Bank darf man sich die Sicherungseinrichtungen im Schalterraum ansehen. Man darf dann zwar vermuten, das man vor hat "wiederzukommen" , aber straffällig wird man damit wohl noch nicht.
Wenn der Scan allerdnigs zu einem DoS führt, sieht die Sache schon wieder anders aus. da hat cane wohl Recht.
Ich hallte nichts davon, "Gegenmassnahmen" einzuleiten. Erstens trifft es eh meist die Falschen und zweitens bietet man dem erfahrerenen Angreifern die Möglichkeit sich selbst auszuschalten bzw. als Angriffswerkzeug auf andere zu dienen. Die hatten vielleicht diese glorreiche Idee und wurden zu Werkzeugen von Dritten (und tauchen in den Logs auf).

- als root darf man sich nicht einloggen
- Anmeldung nur über Public/Private Key, die Anmeldung über Passwort grundsätzlich verbieten

Öhm ... Key und Passwort, alles ander ist Leichtsinn ;)
Nein, mir ist leider letztens ein abhanden worden, und dort war ein Key drauf, fatal wenns illegale böse Buben wären.

cu/2 iae

Ja sowas hatte ich auch mal!
Ich meine solche angriffe.
Dabei bin ich ein Privatuser.Und habe keinen Server.
Allerdings hab ich nie rausbekommen wer das war ich hatte nur die IP Adresse.
Anhand der ersten 3 Ziffern nehme ich an das der Angreifer (wenns wirklich einer war)
ein Kunde der Telekom war.
Ich hab da dann mal eine E-Mail an Abuse geschrieben aber man weiss ja wie die Telekom so ist warscheinlich ist nichts passiert.
Meine Frage geht aber dahin wenn man die IP-Adresse hat wie bekommt man die Stadt heraus aus der der Typ kommt?

Meine Frage geht aber dahin wenn man die IP-Adresse hat wie bekommt man die Stadt heraus aus der der Typ kommt?

Eigentlich gar nicht. Aber vorausgesetzt, dass der "Angreifer" wirklich hinter dieser IP-Adresse steckt nützt vielleicht ein Traceroute was. Bei der T-COM sieht man dann den Borderrouter der nächsten Stadt.

Zum Thema Portscan: Ich hab mal einen Text gelesen, da wurde ein Portscan etwa damit verglichen, wie wenn du auf offener Straße an einem fremden Auto versuchst die Tür zu öffnen (ohne sie aufzubrechen natürlich, nur am Griff ziehen) - nicht sehr nett, aber an sich auch noch nicht illegal. Portscans haben halt ein schlechtes Image, weil sie einem tatsächlichen Einbruchsversuch oftmals vorausgehen.

@mbo: Das Passwort, das du zusätzlich zu der Public/Private-Key Authentisierung noch mit angeben musst, ist die sog. Passphrase für deinen private key. Die musst du immer angeben, wenn du deinen privaten Schlüssel benutzt, sei es zum Signieren oder Entschlüsseln. Die Passphrase wird bei der Schlüsselgenerierung angegeben und kann auch leer sein. Sinnvoller ist es natürlich sie zu setzen (und zwar möglichst lang!). Am SSH-Server selbst kannst du das allerdings nicht konfigurieren, dass eine Passphrase vorgeschrieben ist. Man kann hier also nicht angeben, dass jemand, der keine Passphrase auf seinem private key hat, sich nicht mehr anmelden darf, wenn man diese Authentisierung grundsätzlich erlaubt.
Bubble

@mbo: Das Passwort, das du zusätzlich zu der Public/Private-Key Authentisierung noch mit angeben musst, ist die sog. Passphrase für deinen private key. Die musst du immer angeben, wenn du deinen privaten Schlüssel benutzt, sei es zum Signieren oder Entschlüsseln. Die Passphrase wird bei der Schlüsselgenerierung angegeben und kann auch leer sein. Sinnvoller ist es natürlich sie zu setzen (und zwar möglichst lang!). Am SSH-Server selbst kannst du das allerdings nicht konfigurieren, dass eine Passphrase vorgeschrieben ist. Man kann hier also nicht angeben, dass jemand, der keine Passphrase auf seinem private key hat, sich nicht mehr anmelden darf, wenn man diese Authentisierung grundsätzlich erlaubt.
Bubble

Dann mach ich was falsch.

cu/2 iae

zum ursprünglichen thema:

auf full-disclosure gibt es einen thread darüber:
http://lists.netsys.com/pipermail/full-disclosure/2004-July/024340.html

wurde vor ein paar tagen, schon mal auf full-disclosure diskutiert.

http://lists.netsys.com/pipermail/full-disclosure/2004-July/024340.html
darauf hat z.b. einer geantwortet.

I've seen that too, on several machines, different range of ip's. I guess it`s
some sort of a mass bruteforce exploit (there were 50 or more attempts on my
box in just 20-30 s). Anyone who can enlighten us, it will be appreciated,
i've searched too and couldn't find anything related.

aufgrund der geschwindigkeit des bruters gehe ich davon aus das die kinder,
den ssh2 bruter von stealth/teso genutzt haben. das tool heisst guess-who
und connected sehr schnell ssh boxen an und brutet accounts.

ein anderer schrieb:

I've seen the same, coming from hosts all over the Net. The accounts
tried seem to be "guest", "test", "root", and "admin". First hit was
around 11:15 PM PST, 22 July.

desweiteren kommen die meisten angriffe wohl aus dem asiatischen sektor.

scheinen diesen user gewesen zu sein die du auch gesehen hast.

und was sagt uns das ?

ein gutes kennwort, hilft vor bruterei.

Hallo,

ssh Port in der Firewall dicht machen. Dann per Mail (signierte) freischalten (Nur diesen einen Rechner) oder dadurch dann ssh erst starten lassen, zusätzlich Portknocking und per Passwort und Key drauflassen.

cya
LiNUXrh7