muss ich mir darüber sorgen machen das ab und zu mal jemand versucht auf meinen server zu kommen ohne das er eigenntlich von ihm wissen dürfte ?
das macht sich folgendermaßen bemerkbar :

/var/log/secure




May 10 20:35:52 serv-1-1-51 sshd[28040]: Illegal user x from 69.44.152.82
May 10 20:35:54 serv-1-1-51 sshd[28040]: Failed password for illegal user x from 69.44.152.82 port 35302 ssh2
May 10 14:35:55 serv-1-1-51 xinetd[25533]: START: ssh pid=28104 from=69.44.152.82
May 10 20:35:55 serv-1-1-51 sshd[28104]: Illegal user jas from 69.44.152.82

Eher nein, nur einer der versucht Username und Passwort zu raten. Wenn es den User "jas" gibt, schränkt das den Kreis der mögliches Tester auf die ein, welche wissen, dass es diesen User gibt. Deine IP haben sie evtl. vom einem Instant-Messanger.

ne is ja nen vserver da kann man meine ip nich einfach mal so bekommen. und den user jas gibt es auch nich genau so wenig wie x, und mit root haben sie es auch schon probiert aber auch nich imma die selbe ip.

Auch virtuelle Server die am Netz hängen haben eine IP. Dies gilt für jedes Gerät, dass unterscheidbar im Internet ist. Ggf. ist es keine öffentliche IP sonders eine netzinterne die durch nen Router/Gateway über NAT (Network Address Translation) nen Zugang zum Internet hat, weniger aber nicht. Warum wer versuchte sich als jas, x oder sonstwer anzumelden kann viele Gründe haben - meist spielen Kinder mit Win32-möchteger-hackertools. Aber da sie das noch ne Millionen Jahre erfolgslos versuchen können würde ich es ignorieren. don't panic.

Gruss..

PS: Installier mal nen Webserver und wähl dich via T-Online ein, ne Stunde ohne Hackingversuch vergeht eigenltich nie. (meist sind das dann Würmer und Viren auf Win-Rechnern, die einen auf Mogo machen ohne das der User es weiss)

hi,

host 69.44.152.82 verrät einem den dns-eintrag:

82.152.44.69.in-addr.arpa domain name pointer server3.nexmore.com
und whois.net verrät einem

Registrant:
Skoleveven AS (NEXMORE-COM-DOM)
Myrsvingen 31
Grimstad, NO 4879
Norway
+47 37 04 53 35
+47 37 04 28 19
anders@bjerkholt.no

Domain Name: NEXMORE.COM

Administrative Contact:
Anders Bjerkholt anders@bjerkholt.no
Skoleveven AS, Myrsvingen 31
Grimstad, NO 4879
Norway
+47 37 04 53 35
Fax- +47 37 04 28 19

Technical Contact, Zone Contact:
Anders Bjerkholt anders@bjerkholt.no
Skoleveven AS, Myrsvingen 31
Grimstad, NO 4879
Norway
+47 37 04 53 35
Fax- +47 37 04 28 19

Record last updated on 31-Mar-2005.
Record expires on 08-Jul-2005.
Record created on 08-Jul-2000.

Domain servers in listed order:

Name Server: ns1.geodns.net
Name Server: ns2.geodns.net
Ruf doch einfach mal bei Herrn Bjerkholt in Norwegen an und frag freundlich nach wem der "server3" gehört und was das soll.

Grüße
Untergeher

Au meinem Webserver habe ich bis zu 1000 Versuche dieser Art. Das ist IMHO "normal" wie auch Portscans usw...

Verschoben ins Forum "Sicherheit".

Auch auf meinem Webserver häufen sich solche Logs.
Am Anfang hab ich auch Panik geschoben, aber meine Passwörter sind recht stark, die errät niemand. Die anderen User haben auch recht starke Passwörter bzw. 99% haben keinen Shellzugang.

Gruß Malte

das ist bei mir eigentlich genau so ich lege sehr viel wert darauf das standart passwörter vermieden werden und ssh braucht nicht jeder. ich finde es halt nur nen bissel ungewöhnlich das gerade von anderen severn aus immer versucht wird auf meinen zu kommen. ich hab letztens erst nen tranceout gemacht und bin aufm webserver in tokio gelandet. ich habe selten nen privatrechner in den logs, das sagt mir das es nicht unbedingt script kiddies sein muessen. aber egal solange sie nur versuchen per ssh auf den rechner zu kommen soll mir das egal sein.

Ruf doch einfach mal bei Herrn Bjerkholt in Norwegen an und frag freundlich nach wem der "server3" gehört und was das soll.

Laßt sowas sein:

1. Macht ihr euch damit nur zum Affen.
2. Überlegt euch mal was passiert wenn jeder wegen PortScans oder SSH-Logins beim Provider anruft...

Wer sein System sicher konfiguriert dem können solche Sachen schlicht und ergreifend egal sein :)

mfg
cane

Hi,

die meisten Systeme, von denen solche Versuche ausgehen, sind gecracked. Von diesen Hosts kommen dann aber nicht ein oder zwei Verusche, sondern meist über 100. Man macht sich nicht zum Affen, wenn man das dem Provider meldet. Letzte Woche erst haben sowohl ein russischer wie auch ein taiwanesischer Provider die "angreifenden" Hosts vom Netz genommen. Es geht also doch. Hilft aber nur im Nachhinein.

Anosnsten - wie immer - das System absichern. Stichwörter dazu: SSHd stoppen, Portknocking, private key, kein root Login, Sicherheitsupdates, sichere Passwörter ...

Das ganze Leben ist ein Risiko. :D

LKH

Was ich noch vergessen hatte: Eignungprüfung für Root-Server Betreiber!!

Wo wir gerade bei dem Thema sind...
Ich schreibe hier mal die "beliebtesten" Anfragen auf WebServer (zumindest meinen) auf:


61.62.101.77 - - [02/May/2005:22:27:03 +0200] "GET /sumthin HTTP/1.0" 404 920


83.103.244.204 - - [07/May/2005:15:11:40 +0200] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 404 920


83.103.244.204 - - [07/May/2005:15:11:40 +0200] "SEARCH /\x90\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\ x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\ x04H\x04H\x(...)


218.1.111.50 - - [08/May/2005:16:25:34 +0200] "GET http://www.yahoo.com/ HTTP/1.1" 200 1360

Und auch sehr beliebt ist:

CONNECT 1.3.3.7:1337 HTTP/1.0

Nur bringen tut alles nix ;)

Hi,




218.1.111.50 - - [08/May/2005:16:25:34 +0200] "GET http://www.yahoo.com/ HTTP/1.1" 200 1360


200 steht aber für "OK". Schau mal lieber, ob nicht doch das Modul mod_proxy beim Apache geladen ist.

LKH

die meisten Systeme, von denen solche Versuche ausgehen, sind gecracked. Von diesen Hosts kommen dann aber nicht ein oder zwei Verusche, sondern meist über 100. Man macht sich nicht zum Affen, wenn man das dem Provider meldet. Letzte Woche erst haben sowohl ein russischer wie auch ein taiwanesischer Provider die "angreifenden" Hosts vom Netz genommen. Es geht also doch. Hilft aber nur im Nachhinein.

Okay - wenn wochenlang oder mehrere Hundert Anfragen kommen ist es was anderes. Aber selbst da bringt es meist nur was wenn man dienstlich anruft - Beschwerden von Privatpersonen werden fast immer stillschweiend ignoriert...

Es ging ja darum das ab und zu ein paar Anfragen auf den SSH-Port kommen - da macht man sich zu 100 % zum Affen und kostet den Support wertvolle Zeit.


mfg
cane

Hi,

das potentielle SSH-Problem läßt sich ohnehin leicht lösen, indem der SSH-Server so konfiguriert wird, dass er eine Authentifizierung ausschließlich über Public-Keys zuläßt. Dann ist es eh aus mit dem Raten von Usernamen und Passwörtern.
Die Thematik wurde hier im Forum schon einige male ausgelutscht. Bei Interesse bitte SuFu.

Harry