Hallo Leute,

plötzlich ging mein KDE als user nicht mehr, desshalb machte ich einen kurzen Sprung nach /var/log und las mir die messages durch. Da fiel mir auf, dass es viele viele fehlgeschlagene Versuche gab, sich bei mir über ssh einzuloggen. Hab dann mal "cat messages | grep invalid > /root/messages" ausgeführt, mir genauer angeschaut was da steht und geschaut, wer hinter der IP 62.87.154.109 steckt. Also kurzerhand traceroute angeworfen. Das Ergbnis seht ihr im Anhang.
Jetzt kommt meine Frage, hab ich Grund zur Sorge? Ich hab keine Firewall installiert und meine IPtables sind einfach nur zum forewarden eingerichtet.
_1_Habt ihr auch so ähnliche Meldungen?
_2_Und wie kommt der Typ auf meine IP? Mein Rechner läuft 24/7 und ich hab lange Zeit Azureus am laufen gehabt, um Slackware 10.1 runter und raufzuladen.
_3_Glaubt ihr dieser Pole (und die anderen) haben sich so meine IP ausgespäht oder auf anderem Wege?
_4_Und warum?
_5_Gibt es eine Möglichkeit herauszufinden, was und ob mit meinem System passiert ist?

liebe Grüße,
Gorgoroth.

Nein, das braucht dich nicht zu beunruhigen. Das sind Bots/Skripte, die nach SSH-Server scannen und bestimmte Logins probieren. Wichtig ist, dass du ein möglichst sicheres bzw. komplexes Passwort verwendest.

Gut, danke für die rasche Antwort. Ich denke, mein Passwort ist komplex genug. :o

also hier hast du mal die Person inkl. Adresse und Telefonnr. die hinter dieser IP "steckt":


person: Aleksander Gorczyca
address: Karkonoska Agencja Rozwoju Regionalnego
address: ul. 1-go Maja 27
address: 58-500 Jelenia Gora
address: Poland
e-mail: admin@karr.pl
phone: +48 75 7523293
nic-hdl: AG1762-RIPE
mnt-by: PL-DIALOG-MNT
changed: jacek.skorzak@dialog.pl 20030729
source: RIPE


als erstes würd ich mal versuchen das direkt mit demjenigen zu klären anzeigen kannst du ihn noch immer ... weiß nur nich ob das was bringt insbesondere in Polen :confused:

aus dem was du gepostet hast ist zwar der Angriff ersichtlich aber nicht ob es wirklich gelungen ist einzudringen ...

P.S.: bitte beachten: die Person ist zwar für den Server mit dieser IP verantwortlich muß aber nicht selbst der Angreifer gewesen sein

Wow, woher weißt du denn das?? :ugly:
Danke für die Infos, werd den Typen mal fragen, was das soll.

Wow, woher weißt du denn das?? :ugly:
http://www.ripe.net

Danke für die Infos, werd den Typen mal fragen, was das soll.
Gut möglich daß diese Person der Chef eines Providers, einer Firma oder sonstwas ist und bloß einer seiner Kunden, Mitarbeiter etc. die Attacke durchgeführt hat ... also kein Grund hier unfreundlich zu schreiben - nur damit da nix mißverstanden wird ;)

Aber als Verantwortlicher für den Server ist er aber verpflichtet etwas zu unternehmen ...

Gruß, f_m

Cool, danke.
Ich hab ihm geschrieben, dass er aufhören soll, mir auf die Nerven zu gehen oder, falls das jemand war, der Zugriff auf seine Rechner hat, diesen sicherer zu machen. Hoffentlich freundlich genug.

Hi,


... Ich hab ihm geschrieben, dass er aufhören soll, mir auf die Nerven zu gehen oder, falls das jemand war, der Zugriff auf seine Rechner hat, diesen sicherer zu machen. Hoffentlich freundlich genug.

Also das finde ich unfreundlich. Jeder Serverbetreiber hat Interesse daran, dass sowas von seinen Servern nicht passiert. Nur der Hinweis hätte gereicht.

BTW: richte am besten den SSH-Zugang so ein, dass der nur nach einem port knocking und mit einem public key geht. Dann ist imho am sichersten ...

LKH

Er soll ja merken, dass mir das nicht recht ist und ich sowas nicht lustig finde. In 50 Jahren sitz ich wahrscheinlich auf der Veranda und schrei Kinder an, die auf meinem Rasen spielen :D
Danke für die Tipps um SSH sicherer zu machen. Werd das nächste mal, wenn ich Zeit hab, das dann mal ausprobieren.

Ja und installier Dir eine Firewall Smoothwall oder etwas in der richtung. Dann hst nicht jedesmal panic

Gruss

Du kannst auch den Port, an dem SSH lauscht auf einen anderen als den Standard-SSH Port legen. Dann hört das ganze auch auf. Diese Scripte bzw. Bots scannen nämlich (fast) nur die Standard-Ports ab.

Chris

Du kannst auch den Port, an dem SSH lauscht auf einen anderen als den Standard-SSH Port legen. Dann hört das ganze auch auf. Diese Scripte bzw. Bots scannen nämlich (fast) nur die Standard-Ports ab.

Chris
Und das bringt genau was? Security by Obscurity...

Die Verbindungs-/Loginversuche stören doch den Betrieb nicht.

Und das bringt genau was? Security by Obscurity...

Die Verbindungs-/Loginversuche stören doch den Betrieb nicht.

Ein sauberes Syslog. Naja war nur ein Vorschlag. Nicht böse sein :P

Und das bringt genau was? Security by Obscurity...

Die Verbindungs-/Loginversuche stören doch den Betrieb nicht.

Das soll nicht die Sicherheit erhöhen, sondern das Logfile lesbarer machen. An anderer Stelle hatten wir das Thema schon mal.

Hi,

weiss eigentlich jemand, was für diese Anfragen ursächlich ist und wie man sich damit "inifizieren" kann. Ich hatte heute wieder diese 107 Versuche von einem 1&1 Rootserver mit ziemlich aktueller Software.

LKH

weiss eigentlich jemand, was für diese Anfragen ursächlich ist und wie man sich damit "inifizieren" kann. Ich hatte heute wieder diese 107 Versuche von einem 1&1 Rootserver mit ziemlich aktueller Software.

Damit ist nicht der angegriffene Rechner unbedingt infiziert, sondern die angreifenden Rechner.

Hi,


Damit ist nicht der angegriffene Rechner unbedingt infiziert, sondern die angreifenden Rechner.

Genau den meinte ich ja auch (sorry, wenn es etwas mißverständlich war). Die "Angriffe" in meinen Logs kommen immer von Linux/Unix Maschinen. Irgendwie muss das Böse ja da draufgekommen sein ... :D

LKH

Genau den meinte ich ja auch (sorry, wenn es etwas mißverständlich war). Die "Angriffe" in meinen Logs kommen immer von Linux/Unix Maschinen. Irgendwie muss das Böse ja da draufgekommen sein ... :D

OK ;)

Aber wenn du das Problem verstanden hast brauchst du nur noch googeln:
http://www.google.de/search?q=ssh%20worm%20login
http://groups.google.de/groups?q=ssh%20login%20versuche

Cool, danke.
Ich hab ihm geschrieben, dass er aufhören soll, mir auf die Nerven zu gehen oder, falls das jemand war, der Zugriff auf seine Rechner hat, diesen sicherer zu machen. Hoffentlich freundlich genug.
Die Adresse ist nur die vom Registrar dieser IP. Die Person der du da geschrieben hast, ist also sehr wahrscheinlich der Ansprechpartner beim Provider des Angreifers. Das ist also so als wenn du selbiges an T-Online geschrieben hättest... Du solltest an die angegebene eMail-Adresse schreiben, dass zu dem betreffenden Zeitpunkt von der betreffenden IP aus ein Angriff gegen dich unternommen wurde. Anhand dessen kann der Provider aus Logs dann vermutlich den Kunden finden, der die IP zu dem Zeitpunkt zugeordnet hatte.

Falls du nochmal solche Probleme hast:
http://ripe.net/whois/ (für Europa)
http://arin.net/whois/ (für Nordamerika)
(für Asien, etc gibts auch welche)

Dort dann die IP eingeben. Aber dran denken: Die Adresse die du dann bekommst ist sehr wahrscheinlich nicht die des Angreifers, sondern seines Providers o. seiner Firma/Uni/Internetcafe/... je nachdem über wen er da im Netz war.