Hallo zusammen,
Irgendwie kommen mir die Logs meines Mailservers ein bisschen spanisch vor!


Dec 4 06:06:30 kllx1 sshd[14897]: Could not reverse map address 221.162.104.14.
Dec 4 06:06:33 kllx1 sshd[14899]: Could not reverse map address 221.162.104.14.
Dec 4 06:06:37 kllx1 sshd[14902]: Could not reverse map address 221.162.104.14.
Dec 4 06:06:40 kllx1 sshd[14904]: Could not reverse map address 221.162.104.14.
Dec 4 06:06:40 kllx1 PAM_unix[14904]: authentication failure; (uid=0) -> postgres for ssh service
Dec 4 06:06:42 kllx1 sshd[14904]: Failed password for postgres from 221.162.104.14 port 2136 ssh2
Dec 4 06:06:45 kllx1 sshd[14906]: Could not reverse map address 221.162.104.14.
Dec 4 06:06:45 kllx1 PAM_unix[14906]: authentication failure; (uid=0) -> postgres for ssh service
Dec 4 06:06:48 kllx1 sshd[14906]: Failed password for postgres from 221.162.104.14 port 2230 ssh2
Dec 4 06:06:51 kllx1 sshd[14908]: Could not reverse map address 221.162.104.14.
Dec 4 06:06:51 kllx1 PAM_unix[14908]: authentication failure; (uid=0) -> postgres for ssh service
Dec 4 06:06:53 kllx1 sshd[14908]: Failed password for postgres from 221.162.104.14 port 2323 ssh2
Dec 4 06:06:56 kllx1 sshd[14910]: Could not reverse map address 221.162.104.14.
Dec 4 06:06:56 kllx1 PAM_unix[14910]: authentication failure; (uid=0) -> postgres for ssh service
Dec 4 06:06:57 kllx1 sshd[14910]: Failed password for postgres from 221.162.104.14 port 2406 ssh2
Dec 4 06:07:00 kllx1 sshd[14912]: Could not reverse map address 221.162.104.14.
Dec 4 06:07:03 kllx1 sshd[14914]: Could not reverse map address 221.162.104.14.
Dec 4 06:07:06 kllx1 sshd[14916]: Could not reverse map address 221.162.104.14.


Laut WHOIS kommt die IP aus Korea und von dort haben wir definitiv keine Mailuser.. :rolleyes:
Muss ich mir Sorgen machen?

Gruss
Chrigu

Hm sieht doch einfach danach aus, als ob jemand sich über ssh einloggen will, ist doch nicht ungewöhnlich. Gibt doch tausend Skripte die das wild mit Standard-Passwörtern ausprobieren. Solange dein password sicher ist, sollte es keine Probleme geben. Zusätzlich solltest du den root login über ssh deaktivieren.

Bei diesen Fehlermeldungen kannst du dich beruhigt zurücklegen. Kein Grund zur Sorge.

Vor allem bei ftd-Servern nehmen BF-Angriffe in letzter Zeit zu.

Ich hab immer mal wieder logs wo 10 - 100 Usernamen wie stuff, crack, porn, stuff, xxx (...) ausprobiert werden...

Letzte Woche kamen die Versuche von einem gecrackten Server eines anderen Unternehmens - hab dem Admin mal ne Mail geschrieben...

mfg
cane

Ok, besten dank. Der hat das ziemlich oft versucht, sind ca. 300 Einträge in den Logs!

Gruss
Chrigu

Hab ich hier auch.
Jede Woche mind. 3x von verschiedenen Adressen.
Früher waren es immer Adressen von Unis im Ausland.
In den letzten Wochen aber auch von Unternehmen und Providern in Asien.
Also bei den Unis kümmern sich die Admins noch darum (zumindest waren bisher alle Admins froh über meine Mails) aber bei den Providern lohnt es sich wohl nicht.



1) von " Korea Advanced Institute of Science and Technology"
Nov 28 11:58:49 sven sshd[22001]: Failed password for illegal user test from 143.248.31.213 port 39928 ssh2
Nov 28 11:58:51 sven sshd[22003]: Failed password for illegal user guest from 143.248.31.213 port 39999 ssh2
Nov 28 11:58:54 sven sshd[22005]: Illegal user admin from 143.248.31.213

2) von "CHINA RAILWAY TELECOMMUNICATIONS CENTER"
Nov 24 18:36:41 sven sshd[6375]: Failed password for illegal user test from 222.45.45.132 port 47526 ssh2
Nov 24 18:36:45 sven sshd[6377]: Failed password for illegal user guest from 222.45.45.132 port 47616 ssh2
Nov 24 18:36:49 sven sshd[6379]: Illegal user admin from 222.45.45.132

3) von "CNCGROUP Heilongjiang province network"
Nov 24 07:47:51 sven sshd[30496]: Failed password for illegal user test from 218.8.127.193 port 55615 ssh2
Nov 24 07:47:54 sven sshd[30498]: Failed password for illegal user guest from 218.8.127.193 port 55686 ssh2
Nov 24 07:47:58 sven sshd[30500]: Illegal user admin from 218.8.127.193

4) von "Keio University - Japan"
Nov 23 00:27:48 sven sshd[8885]: Failed password for illegal user mickey from 133.27.18.83 port 57909 ssh2
Nov 23 00:27:50 sven sshd[8887]: Failed password for illegal user mike from 133.27.18.83 port 58040 ssh2
Nov 23 00:27:53 sven sshd[8889]: Failed password for illegal user jordan from 133.27.18.83 port 58206 ssh2
Nov 23 00:27:55 sven sshd[8891]: Failed password for illegal user michael from 133.27.18.83 port 58347 ssh2
Nov 23 00:27:57 sven sshd[8893]: Failed password for illegal user shadow from 133.27.18.83 port 58504 ssh2

5) von "KOREA TELECOM Internet Operating Center"
Nov 21 12:23:40 sven sshd[16630]: Failed password for illegal user oracle from 211.217.193.180 port 55507 ssh2
Nov 21 12:23:43 sven sshd[16632]: Failed password for illegal user www from 211.217.193.180 port 55534 ssh2
Nov 21 12:23:47 sven sshd[16634]: Failed password for illegal user master from 211.217.193.180 port 55562 ssh2
Nov 21 12:23:51 sven sshd[16636]: Failed password for illegal user info from 211.217.193.180 port 55597 ssh2
Nov 21 12:23:57 sven sshd[16640]: Failed password for illegal user computer from 211.217.193.180 port 55654 ssh2
Nov 21 12:24:01 sven sshd[16642]: Failed password for illegal user webmaster from 211.217.193.180 port 55684 ssh2

usw. usw. usw.

Gruß
Thorsten

Die einfachste Abhilfe dagegen ist den SSH-Server einfach auf einem anderen Port lauschen zu lassen.

Security through obscurity?

Security through obscurity?
Genau. Erhöht den Schutz/die Sicherheit imho nicht.

Security through obscurity?

Richtig, das erhöht den Schutz nicht. Aber da diese Skripte bei gut gewählten Passwörtern bzw. bei Key-Login eh kaum eine Gefahr darstellen, sorgt man mit der Maßnahme, den Server auf einem anderen Port zu betreiben, für ein übersichtlicheres Logfile. Man muss sich nimmer durch diese Skript-erzeugten fehlgeschlagenen Logins kämpfen. Logfiles lesen wird dadurch effektiver.

Ich habe eine Frage:

Ist das eigentlich rechtens, dass der Threadstarter IP's von ev. Angreifern veröffentlicht? Das war ja vlt. kein Angriff. Er fragt ja, obs ein Angriff war,...also könnts auch keiner gewesen sein. Ist sowas rechtens?

Ich bin zwar kein Rechtsexperte, sehe jedoch kein Problem darin. Er hat ja nicht gesagt, dass das ein Hacker war, sondern gefragt. Zudem sind das meistens Bots/Roboter, die diese Logins seit einiger Zeit automatisiert versuchen.

Ich habe eine Frage:

Ist das eigentlich rechtens, dass der Threadstarter IP's von ev. Angreifern veröffentlicht? Das war ja vlt. kein Angriff. Er fragt ja, obs ein Angriff war,...also könnts auch keiner gewesen sein. Ist sowas rechtens?

Ähm, wodurch sollte das verboten sein und mit welcher Begründung?

Ähm, wodurch sollte das verboten sein und mit welcher Begründung?

Event. § 17 Telekommunikationsgesetz

Event. § 17 TelekommunikationsgesetzIch wusste es, hehe, es IST verboten!

Denn es könnte ja ein Geschäftsmitarbeiter sein oda so. Wenn in den Verträgen nicht steht...ich bin einverstanden, dass ich abgehört werde..undso... dann is da nix, imo.

@IT-Low:
Kannst du net bitte noch den Link zu diesem Ding posten, würd mich interessieren...

@IT-Low:
Kannst du net bitte noch den Link zu diesem Ding posten, würd mich interessieren...

http://www.netlaw.de/gesetze/tkg_neu.htm

Das nächste Mal fragst du google.

Ich wusste es, hehe, es IST verboten!


glaube ich nicht. es sein den Chrigu ist ein provider / betreiber eines öffentlichen netzes.

greetz

Wie ich das bisher verstand:

Wenn der Server für ein Gewerbe (egal welche Branche), sprich, geschäftlich benützt wird von anderen Firmenmitarbeitern, dann ist das illegal, wenn keine passenden Verträge mit allen, die berechtigt sind, diese EDV geschäftlich zu nutzen, vorhanden sind.
Hab ich's falsch verstanden?

Kein AG darf seinen AN beschatten, wenn dies nicht ausdrücklich in einem Vertrag unterzeichnet wurde.

Das Ganze hat immer weniger mit dem eigentlichen Thread/Problem zu tun, deshalb Thread geschlossen.