PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Mein Server wird angegriffen (Dictionary-Attacks)



Seiten : [1] 2

lynix
02.07.05, 22:42
Hi@all!

Wie bereits im Titel erwähnt habe ich den begründeten Verdacht, dass mein (v)Server angegriffen wird. Gestoßen bin darauf, als ich zum Spaß mal die Logs in /var/log durchgeschaut hab.

Hier mal mein Fund:



[root@vs210054 log]# cat secure | grep Failed
Jun 29 11:30:46 vs210054 sshd[28290]: Failed password for root from 66.84.89.55 port 39422 ssh2
Jun 29 11:45:31 vs210054 sshd[29505]: Failed password for root from 66.84.89.55 port 58697 ssh2
Jun 29 18:01:32 vs210054 sshd[22694]: Failed password for root from 212.12.131.2 port 33141 ssh2
Jun 30 00:54:21 vs210054 sshd[18240]: Failed password for illegal user test from 212.248.53.160 port 45917 ssh2
Jun 30 00:54:27 vs210054 sshd[27460]: Failed password for illegal user guest from 212.248.53.160 port 46151 ssh2
Jun 30 00:54:34 vs210054 sshd[1728]: Failed password for illegal user admin from 212.248.53.160 port 46330 ssh2
Jun 30 00:54:38 vs210054 sshd[7876]: Failed password for illegal user admin from 212.248.53.160 port 46641 ssh2
Jun 30 00:54:42 vs210054 sshd[11520]: Failed password for illegal user user from 212.248.53.160 port 46907 ssh2
Jun 30 00:54:47 vs210054 sshd[14784]: Failed password for root from 212.248.53.160 port 47206 ssh2
Jun 30 00:54:52 vs210054 sshd[18504]: Failed password for root from 212.248.53.160 port 47537 ssh2
Jun 30 00:54:56 vs210054 sshd[21633]: Failed password for root from 212.248.53.160 port 47863 ssh2
Jun 30 00:54:59 vs210054 sshd[24227]: Failed password for illegal user test from 212.248.53.160 port 48121 ssh2
Jun 30 03:50:20 vs210054 sshd[22273]: Failed password for illegal user aaron from 211.21.62.108 port 38334 ssh2
Jun 30 03:50:27 vs210054 sshd[29728]: Failed password for illegal user adam from 211.21.62.108 port 38494 ssh2
Jun 30 03:50:35 vs210054 sshd[4929]: Failed password for illegal user admin from 211.21.62.108 port 38661 ssh2
Jun 30 03:50:42 vs210054 sshd[10787]: Failed password for illegal user admin from 211.21.62.108 port 38799 ssh2
Jun 30 03:50:48 vs210054 sshd[17026]: Failed password for illegal user admin from 211.21.62.108 port 38970 ssh2
Jun 30 03:50:55 vs210054 sshd[20992]: Failed password for illegal user admin from 211.21.62.108 port 39076 ssh2
Jun 30 03:51:01 vs210054 sshd[25763]: Failed password for illegal user admin from 211.21.62.108 port 39226 ssh2
Jun 30 03:51:08 vs210054 sshd[32514]: Failed password for illegal user admin from 211.21.62.108 port 39351 ssh2
Jun 30 03:51:14 vs210054 sshd[6245]: Failed password for illegal user admin from 211.21.62.108 port 39493 ssh2
Jun 30 03:51:22 vs210054 sshd[11233]: Failed password for illegal user adrian from 211.21.62.108 port 39619 ssh2
Jun 30 03:51:29 vs210054 sshd[17760]: Failed password for illegal user alan from 211.21.62.108 port 39807 ssh2
Jun 30 03:51:35 vs210054 sshd[21282]: Failed password for illegal user alex from 211.21.62.108 port 39951 ssh2
Jun 30 03:51:43 vs210054 sshd[24001]: Failed password for illegal user andrew from 211.21.62.108 port 40079 ssh2
Jun 30 03:51:52 vs210054 sshd[29505]: Failed password for illegal user angel from 211.21.62.108 port 40262 ssh2
Jun 30 03:51:59 vs210054 sshd[31842]: Failed password for illegal user anna from 211.21.62.108 port 40442 ssh2
Jun 30 03:52:06 vs210054 sshd[2180]: Failed password for apache from 211.21.62.108 port 40571 ssh2
Jun 30 03:52:11 vs210054 sshd[9891]: Failed password for illegal user aron from 211.21.62.108 port 40745 ssh2
Jun 30 03:52:19 vs210054 sshd[13026]: Failed password for illegal user backup from 211.21.62.108 port 40864 ssh2
Jun 30 10:09:25 vs210054 sshd[22147]: Failed password for root from 206.169.23.15 port 3402 ssh2
Jun 30 10:09:33 vs210054 sshd[30852]: Failed password for illegal user fluffy from 206.169.23.15 port 3664 ssh2
Jun 30 10:09:40 vs210054 sshd[8706]: Failed password for illegal user admin from 206.169.23.15 port 3967 ssh2
Jun 30 10:09:47 vs210054 sshd[17574]: Failed password for illegal user test from 206.169.23.15 port 4221 ssh2
Jun 30 10:09:52 vs210054 sshd[26080]: Failed password for illegal user guest from 206.169.23.15 port 4495 ssh2
Jun 30 10:09:58 vs210054 sshd[776]: Failed password for illegal user webmaster from 206.169.23.15 port 4684 ssh2
Jun 30 10:10:04 vs210054 sshd[9090]: Failed password for mysql from 206.169.23.15 port 4915 ssh2
Jun 30 10:10:09 vs210054 sshd[22240]: Failed password for illegal user oracle from 206.169.23.15 port 1155 ssh2
Jun 30 10:10:16 vs210054 sshd[28803]: Failed password for illegal user library from 206.169.23.15 port 1355 ssh2
Jun 30 10:10:23 vs210054 sshd[6021]: Failed password for illegal user info from 206.169.23.15 port 1567 ssh2
Jun 30 10:10:33 vs210054 sshd[12997]: Failed password for illegal user shell from 206.169.23.15 port 1767 ssh2
Jun 30 10:10:40 vs210054 sshd[25410]: Failed password for illegal user linux from 206.169.23.15 port 2131 ssh2
Jun 30 10:10:52 vs210054 sshd[3554]: Failed password for illegal user unix from 206.169.23.15 port 2411 ssh2
Jul 1 16:13:38 vs210054 sshd[30561]: Failed password for illegal user mark from 211.125.74.155 port 33063 ssh2
Jul 1 16:13:43 vs210054 sshd[992]: Failed password for illegal user andres from 211.125.74.155 port 33138 ssh2
Jul 1 16:13:49 vs210054 sshd[4132]: Failed password for illegal user alex from 211.125.74.155 port 33220 ssh2
Jul 1 16:13:54 vs210054 sshd[7360]: Failed password for illegal user mario from 211.125.74.155 port 33307 ssh2
Jul 1 16:13:59 vs210054 sshd[11233]: Failed password for illegal user backup from 211.125.74.155 port 33383 ssh2
Jul 1 16:14:04 vs210054 sshd[13984]: Failed password for illegal user java from 211.125.74.155 port 33464 ssh2
Jul 1 16:14:09 vs210054 sshd[20129]: Failed password for illegal user robert from 211.125.74.155 port 33538 ssh2
Jul 1 16:14:15 vs210054 sshd[24162]: Failed password for illegal user sarah from 211.125.74.155 port 33614 ssh2
Jul 1 16:14:20 vs210054 sshd[28450]: Failed password for illegal user victor from 211.125.74.155 port 33691 ssh2
Jul 1 16:14:25 vs210054 sshd[32196]: Failed password for illegal user vlad from 211.125.74.155 port 33771 ssh2
Jul 1 16:14:31 vs210054 sshd[3715]: Failed password for illegal user info from 211.125.74.155 port 33856 ssh2
Jul 1 16:14:36 vs210054 sshd[7430]: Failed password for illegal user test from 211.125.74.155 port 33938 ssh2
Jul 1 16:14:41 vs210054 sshd[11296]: Failed password for illegal user eric from 211.125.74.155 port 34043 ssh2
Jul 1 16:14:46 vs210054 sshd[15266]: Failed password for illegal user demo from 211.125.74.155 port 34128 ssh2
Jul 1 16:14:51 vs210054 sshd[19297]: Failed password for illegal user player from 211.125.74.155 port 34209 ssh2
Jul 1 16:14:57 vs210054 sshd[23458]: Failed password for illegal user home from 211.125.74.155 port 34299 ssh2
Jul 1 16:15:02 vs210054 sshd[27491]: Failed password for illegal user postgres from 211.125.74.155 port 34387 ssh2
Jul 1 16:15:12 vs210054 sshd[3365]: Failed password for illegal user thomas from 211.125.74.155 port 34500 ssh2
Jul 1 16:15:18 vs210054 sshd[30466]: Failed password for illegal user oracle from 211.125.74.155 port 34642 ssh2
Jul 1 16:15:24 vs210054 sshd[4003]: Failed password for illegal user student from 211.125.74.155 port 34759 ssh2
Jul 1 16:15:30 vs210054 sshd[10273]: Failed password for illegal user user from UNKNOWN port 34858 ssh2
Jul 1 16:15:35 vs210054 sshd[15777]: Failed password for illegal user library from 211.125.74.155 port 34951 ssh2
Jul 1 16:15:41 vs210054 sshd[21699]: Failed password for illegal user guest from 211.125.74.155 port 35043 ssh2
Jul 1 16:15:47 vs210054 sshd[26564]: Failed password for illegal user ghost from 211.125.74.155 port 35129 ssh2
Jul 1 16:15:52 vs210054 sshd[31816]: Failed password for illegal user peter from 211.125.74.155 port 35231 ssh2
Jul 1 16:15:58 vs210054 sshd[5538]: Failed password for illegal user martin from 211.125.74.155 port 35326 ssh2
Jul 1 16:16:03 vs210054 sshd[10369]: Failed password for illegal user cgi from 211.125.74.155 port 35419 ssh2
Jul 1 16:16:08 vs210054 sshd[15618]: Failed password for illegal user chris from 211.125.74.155 port 35497 ssh2
Jul 1 16:16:16 vs210054 sshd[21504]: Failed password for illegal user gary from 211.125.74.155 port 35574 ssh2
Jul 1 16:16:22 vs210054 sshd[28963]: Failed password for illegal user albert from 211.125.74.155 port 35684 ssh2
Jul 1 16:16:27 vs210054 sshd[2945]: Failed password for illegal user paul from 211.125.74.155 port 35802 ssh2
Jul 1 16:16:33 vs210054 sshd[7360]: Failed password for illegal user mickey from 211.125.74.155 port 35894 ssh2
Jul 1 16:16:38 vs210054 sshd[12933]: Failed password for illegal user richard from 211.125.74.155 port 36000 ssh2
Jul 1 16:16:44 vs210054 sshd[17540]: Failed password for illegal user jack from 211.125.74.155 port 36094 ssh2
Jul 1 16:16:49 vs210054 sshd[22754]: Failed password for illegal user grace from 211.125.74.155 port 36188 ssh2
Jul 1 16:16:55 vs210054 sshd[27042]: Failed password for illegal user temp from 211.125.74.155 port 36278 ssh2
Jul 1 16:17:00 vs210054 sshd[32196]: Failed password for illegal user dummy from 211.125.74.155 port 36389 ssh2
Jul 1 16:17:06 vs210054 sshd[6277]: Failed password for illegal user spam from 211.125.74.155 port 36480 ssh2
Jul 1 16:17:12 vs210054 sshd[11748]: Failed password for illegal user httpd from 211.125.74.155 port 36563 ssh2
Jul 1 16:17:17 vs210054 sshd[19330]: Failed password for illegal user brenda from 211.125.74.155 port 36673 ssh2
Jul 1 16:17:23 vs210054 sshd[25984]: Failed password for illegal user tom from 211.125.74.155 port 36763 ssh2
Jul 1 16:17:29 vs210054 sshd[30980]: Failed password for illegal user max from 211.125.74.155 port 36866 ssh2
Jul 1 16:17:35 vs210054 sshd[4101]: Failed password for illegal user testuser from 211.125.74.155 port 36993 ssh2
Jul 1 16:17:40 vs210054 sshd[8800]: Failed password for illegal user anonymous from 211.125.74.155 port 37094 ssh2
Jul 1 16:17:46 vs210054 sshd[14182]: Failed password for illegal user sales from 211.125.74.155 port 37191 ssh2
Jul 1 16:17:51 vs210054 sshd[19170]: Failed password for illegal user eddie from 211.125.74.155 port 37283 ssh2
Jul 1 16:17:56 vs210054 sshd[23939]: Failed password for illegal user fox from 211.125.74.155 port 37376 ssh2
Jul 1 16:18:02 vs210054 sshd[28256]: Failed password for illegal user nico from 211.125.74.155 port 37467 ssh2
Jul 1 16:18:08 vs210054 sshd[2759]: Failed password for illegal user bob from 211.125.74.155 port 37561 ssh2
Jul 1 16:18:13 vs210054 sshd[9952]: Failed password for illegal user jason from 211.125.74.155 port 37677 ssh2
Jul 1 16:18:18 vs210054 sshd[14369]: Failed password for illegal user william from 211.125.74.155 port 37766 ssh2
Jul 1 16:18:23 vs210054 sshd[18821]: Failed password for illegal user owner from 211.125.74.155 port 37852 ssh2
Jul 1 16:18:28 vs210054 sshd[22918]: Failed password for illegal user david from 211.125.74.155 port 37946 ssh2
Jul 1 16:18:33 vs210054 sshd[27491]: Failed password for illegal user andrew from 211.125.74.155 port 38040 ssh2
Jul 1 16:18:38 vs210054 sshd[31817]: Failed password for illegal user jose from 211.125.74.155 port 38130 ssh2
Jul 1 16:18:44 vs210054 sshd[3333]: Failed password for illegal user tony from 211.125.74.155 port 38221 ssh2
Jul 1 16:18:49 vs210054 sshd[8419]: Failed password for illegal user shop from 211.125.74.155 port 38319 ssh2
Jul 1 16:18:54 vs210054 sshd[13120]: Failed password for illegal user olivier from 211.125.74.155 port 38408 ssh2
Jul 1 16:18:59 vs210054 sshd[18402]: Failed password for illegal user linux from 211.125.74.155 port 38508 ssh2
Jul 1 16:19:04 vs210054 sshd[22918]: Failed password for illegal user garcia from 211.125.74.155 port 38598 ssh2
Jul 1 16:19:11 vs210054 sshd[29960]: Failed password for illegal user mike from 211.125.74.155 port 38692 ssh2
Jul 1 16:19:18 vs210054 sshd[5152]: Failed password for mysql from 211.125.74.155 port 38818 ssh2
Jul 1 16:19:23 vs210054 sshd[10946]: Failed password for illegal user matt from 211.125.74.155 port 38923 ssh2
Jul 1 16:19:29 vs210054 sshd[15107]: Failed password for illegal user frank from 211.125.74.155 port 39027 ssh2
Jul 1 16:19:35 vs210054 sshd[19687]: Failed password for illegal user pierre from 211.125.74.155 port 39132 ssh2
Jul 1 16:19:40 vs210054 sshd[23876]: Failed password for illegal user ivan from 211.125.74.155 port 39234 ssh2
Jul 1 16:19:46 vs210054 sshd[28004]: Failed password for illegal user andrea from 211.125.74.155 port 39325 ssh2
Jul 1 16:19:51 vs210054 sshd[32132]: Failed password for illegal user psycho from 211.125.74.155 port 39431 ssh2
Jul 1 16:19:56 vs210054 sshd[4163]: Failed password for illegal user enrique from 211.125.74.155 port 39520 ssh2
Jul 1 16:20:01 vs210054 sshd[8195]: Failed password for illegal user miguel from 211.125.74.155 port 39614 ssh2
Jul 1 16:20:12 vs210054 sshd[18657]: Failed password for illegal user ana from 211.125.74.155 port 39711 ssh2
Jul 2 03:08:21 vs210054 sshd[19555]: Failed password for illegal user admin from 65.18.144.51 port 4497 ssh2
Jul 2 03:08:29 vs210054 sshd[24707]: Failed password for illegal user admin from 65.18.144.51 port 2185 ssh2
Jul 2 03:08:34 vs210054 sshd[27942]: Failed password for illegal user admin from 65.18.144.51 port 3062 ssh2
Jul 2 03:08:38 vs210054 sshd[31874]: Failed password for illegal user ftpuser from 65.18.144.51 port 4030 ssh2
Jul 2 03:08:47 vs210054 sshd[7235]: Failed password for illegal user ftpuser from 65.18.144.51 port 2100 ssh2
Jul 2 03:08:56 vs210054 sshd[15907]: Failed password for illegal user ftpuser from 65.18.144.51 port 4238 ssh2
Jul 2 03:09:01 vs210054 sshd[20708]: Failed password for illegal user ftpuser from 65.18.144.51 port 1403 ssh2
Jul 2 03:09:06 vs210054 sshd[29281]: Failed password for illegal user ftpuser from 65.18.144.51 port 2964 ssh2
Jul 2 03:09:15 vs210054 sshd[10211]: Failed password for illegal user ftpuser from 65.18.144.51 port 4036 ssh2
Jul 2 03:09:19 vs210054 sshd[24359]: Failed password for illegal user ftpuser from 65.18.144.51 port 1767 ssh2
Jul 2 03:09:24 vs210054 sshd[31817]: Failed password for illegal user mailtest from 65.18.144.51 port 3027 ssh2
Jul 2 03:09:30 vs210054 sshd[4800]: Failed password for illegal user mailtest from 65.18.144.51 port 3651 ssh2
Jul 2 03:09:37 vs210054 sshd[14242]: Failed password for illegal user mailtest from 65.18.144.51 port 1135 ssh2
Jul 2 03:09:42 vs210054 sshd[23428]: Failed password for illegal user mailtest from 65.18.144.51 port 2980 ssh2
Jul 2 03:09:46 vs210054 sshd[31744]: Failed password for illegal user mailtest from 65.18.144.51 port 4350 ssh2
Jul 2 03:09:51 vs210054 sshd[7044]: Failed password for illegal user mailtest from 65.18.144.51 port 1655 ssh2
Jul 2 03:09:54 vs210054 sshd[11649]: Failed password for illegal user testuser from 65.18.144.51 port 2360 ssh2
Jul 2 03:09:58 vs210054 sshd[14598]: Failed password for illegal user testuser from 65.18.144.51 port 3048 ssh2
Jul 2 03:10:05 vs210054 sshd[20097]: Failed password for illegal user testuser from 65.18.144.51 port 4065 ssh2
Jul 2 03:10:10 vs210054 sshd[2433]: Failed password for illegal user testuser from 65.18.144.51 port 1753 ssh2
Jul 2 03:10:15 vs210054 sshd[8706]: Failed password for illegal user testuser from 65.18.144.51 port 3074 ssh2
Jul 2 03:10:23 vs210054 sshd[15265]: Failed password for illegal user testuser from 65.18.144.51 port 4320 ssh2
Jul 2 03:10:28 vs210054 sshd[20640]: Failed password for illegal user sales from 65.18.144.51 port 2293 ssh2
Jul 2 03:10:33 vs210054 sshd[26149]: Failed password for illegal user sales from 65.18.144.51 port 3900 ssh2
Jul 2 03:10:37 vs210054 sshd[31648]: Failed password for illegal user sales from 65.18.144.51 port 4938 ssh2
Jul 2 03:10:41 vs210054 sshd[3041]: Failed password for illegal user sales from 65.18.144.51 port 1807 ssh2
Jul 2 03:10:45 vs210054 sshd[7173]: Failed password for illegal user sales from 65.18.144.51 port 2890 ssh2
Jul 2 03:10:49 vs210054 sshd[11457]: Failed password for illegal user sales from 65.18.144.51 port 4016 ssh2
Jul 2 03:10:53 vs210054 sshd[15334]: Failed password for illegal user sales from 65.18.144.51 port 1200 ssh2
Jul 2 03:10:56 vs210054 sshd[18852]: Failed password for illegal user postgres from 65.18.144.51 port 2319 ssh2
Jul 2 03:11:00 vs210054 sshd[21986]: Failed password for illegal user postgres from 65.18.144.51 port 3349 ssh2
Jul 2 03:11:04 vs210054 sshd[25668]: Failed password for illegal user postgres from 65.18.144.51 port 4372 ssh2
Jul 2 03:11:09 vs210054 sshd[31494]: Failed password for illegal user postgres from 65.18.144.51 port 1567 ssh2
Jul 2 03:11:14 vs210054 sshd[5250]: Failed password for illegal user postgres from 65.18.144.51 port 2899 ssh2
Jul 2 03:11:18 vs210054 sshd[17187]: Failed password for illegal user postgres from 65.18.144.51 port 4208 ssh2
Jul 2 03:11:23 vs210054 sshd[22254]: Failed password for illegal user postfix from 65.18.144.51 port 1257 ssh2
Jul 2 03:11:27 vs210054 sshd[28611]: Failed password for illegal user postfix from 65.18.144.51 port 2856 ssh2
Jul 2 03:11:31 vs210054 sshd[4196]: Failed password for illegal user postfix from 65.18.144.51 port 4017 ssh2
Jul 2 03:11:35 vs210054 sshd[8706]: Failed password for illegal user postfix from 65.18.144.51 port 1221 ssh2
Jul 2 03:11:39 vs210054 sshd[12000]: Failed password for illegal user postfix from 65.18.144.51 port 2222 ssh2
Jul 2 03:11:43 vs210054 sshd[16897]: Failed password for illegal user postfix from 65.18.144.51 port 3407 ssh2
Jul 2 03:11:47 vs210054 sshd[20800]: Failed password for adm from 65.18.144.51 port 4375 ssh2
Jul 2 03:11:51 vs210054 sshd[23330]: Failed password for adm from 65.18.144.51 port 1553 ssh2
Jul 2 03:11:55 vs210054 sshd[27942]: Failed password for adm from 65.18.144.51 port 2792 ssh2
Jul 2 03:11:59 vs210054 sshd[32385]: Failed password for adm from 65.18.144.51 port 4001 ssh2
Jul 2 03:12:02 vs210054 sshd[3041]: Failed password for adm from 65.18.144.51 port 4969 ssh2
Jul 2 03:12:07 vs210054 sshd[8450]: Failed password for adm from 65.18.144.51 port 2065 ssh2
Jul 2 03:12:11 vs210054 sshd[13732]: Failed password for adm from 65.18.144.51 port 3338 ssh2
Jul 2 03:12:15 vs210054 sshd[18560]: Failed password for adm from 65.18.144.51 port 4677 ssh2
Jul 2 03:12:19 vs210054 sshd[22247]: Failed password for illegal user student from 65.18.144.51 port 1837 ssh2
Jul 2 03:12:23 vs210054 sshd[24905]: Failed password for illegal user student from 65.18.144.51 port 2938 ssh2
Jul 2 03:12:27 vs210054 sshd[29509]: Failed password for illegal user student from 65.18.144.51 port 4131 ssh2
Jul 2 03:12:30 vs210054 sshd[358]: Failed password for illegal user student from 65.18.144.51 port 1115 ssh2
Jul 2 03:12:34 vs210054 sshd[3715]: Failed password for illegal user student from 65.18.144.51 port 2206 ssh2
Jul 2 03:12:37 vs210054 sshd[6950]: Failed password for illegal user student from 65.18.144.51 port 3198 ssh2
Jul 2 03:12:41 vs210054 sshd[10112]: Failed password for illegal user service from 65.18.144.51 port 4092 ssh2
Jul 2 03:12:45 vs210054 sshd[13376]: Failed password for illegal user service from 65.18.144.51 port 1182 ssh2
Jul 2 03:12:49 vs210054 sshd[16644]: Failed password for illegal user service from 65.18.144.51 port 2214 ssh2
Jul 2 03:12:52 vs210054 sshd[20417]: Failed password for illegal user service from 65.18.144.51 port 3341 ssh2
Jul 2 03:12:56 vs210054 sshd[22534]: Failed password for illegal user service from 65.18.144.51 port 4256 ssh2
Jul 2 03:13:00 vs210054 sshd[26149]: Failed password for illegal user service from 65.18.144.51 port 1392 ssh2
Jul 2 03:13:04 vs210054 sshd[31140]: Failed password for illegal user test from 65.18.144.51 port 2558 ssh2
Jul 2 03:13:10 vs210054 sshd[4064]: Failed password for illegal user test from 65.18.144.51 port 3624 ssh2
Jul 2 03:13:13 vs210054 sshd[9633]: Failed password for illegal user test from 65.18.144.51 port 1238 ssh2
Jul 2 03:13:17 vs210054 sshd[13152]: Failed password for illegal user test from 65.18.144.51 port 2282 ssh2
Jul 2 03:13:21 vs210054 sshd[16515]: Failed password for illegal user test from 65.18.144.51 port 3340 ssh2
Jul 2 03:13:25 vs210054 sshd[20356]: Failed password for illegal user user from 65.18.144.51 port 4550 ssh2
Jul 2 03:13:31 vs210054 sshd[23428]: Failed password for illegal user user from 65.18.144.51 port 1809 ssh2
Jul 2 03:13:35 vs210054 sshd[28516]: Failed password for illegal user user from 65.18.144.51 port 3443 ssh2
Jul 2 03:13:39 vs210054 sshd[31521]: Failed password for illegal user user from 65.18.144.51 port 4316 ssh2
Jul 2 03:13:42 vs210054 sshd[3524]: Failed password for illegal user user from 65.18.144.51 port 1597 ssh2
Jul 2 03:13:46 vs210054 sshd[6628]: Failed password for illegal user user from 65.18.144.51 port 2585 ssh2
Jul 2 03:13:50 vs210054 sshd[9890]: Failed password for illegal user user from 65.18.144.51 port 3646 ssh2
Jul 2 03:13:54 vs210054 sshd[13667]: Failed password for illegal user guest from 65.18.144.51 port 4737 ssh2
Jul 2 03:13:57 vs210054 sshd[17348]: Failed password for illegal user guest from 65.18.144.51 port 1750 ssh2
Jul 2 03:14:01 vs210054 sshd[20672]: Failed password for illegal user guest from 65.18.144.51 port 2739 ssh2
Jul 2 03:14:06 vs210054 sshd[25250]: Failed password for illegal user guest from 65.18.144.51 port 3844 ssh2
Jul 2 03:14:10 vs210054 sshd[32354]: Failed password for illegal user guest from 65.18.144.51 port 1389 ssh2
Jul 2 03:14:13 vs210054 sshd[3433]: Failed password for illegal user guest from 65.18.144.51 port 2398 ssh2
Jul 2 03:14:17 vs210054 sshd[6950]: Failed password for illegal user guest from 65.18.144.51 port 3362 ssh2
Jul 2 03:14:21 vs210054 sshd[10562]: Failed password for mysql from 65.18.144.51 port 4347 ssh2
Jul 2 03:14:24 vs210054 sshd[14116]: Failed password for mysql from 65.18.144.51 port 1375 ssh2
Jul 2 03:14:28 vs210054 sshd[17217]: Failed password for mysql from 65.18.144.51 port 2369 ssh2
Jul 2 03:14:31 vs210054 sshd[20608]: Failed password for mysql from 65.18.144.51 port 3393 ssh2
Jul 2 03:14:36 vs210054 sshd[23264]: Failed password for mysql from 65.18.144.51 port 4322 ssh2
Jul 2 03:14:40 vs210054 sshd[28006]: Failed password for mysql from 65.18.144.51 port 1758 ssh2
Jul 2 03:14:43 vs210054 sshd[31488]: Failed password for mysql from 65.18.144.51 port 2798 ssh2
Jul 2 03:14:47 vs210054 sshd[2501]: Failed password for ftp from 65.18.144.51 port 3863 ssh2
Jul 2 03:14:52 vs210054 sshd[6177]: Failed password for ftp from 65.18.144.51 port 4982 ssh2
Jul 2 03:14:56 vs210054 sshd[10178]: Failed password for ftp from 65.18.144.51 port 1895 ssh2
Jul 2 03:14:59 vs210054 sshd[13732]: Failed password for ftp from 65.18.144.51 port 2978 ssh2
Jul 2 03:15:10 vs210054 sshd[18211]: Failed password for ftp from 65.18.144.51 port 4013 ssh2


Für mich sieht das aus, wie eine Dictionary-Attack auf ssh.

Ich würde nun gerne eure Meinung dazu hören. Außerdem würde ich gerne wissen, ob man irgendwo das Limit für fehlgeschlagene Logins pro IP global begrenzen kann, um solche Angreifer zB nach 2 Versuchen per IP zu bannen.

Noch ein Wort zum System:
- vServer von vserver.de
- RedHat

Gruß,

lynix

phoenix22
02.07.05, 23:11
http://www.pettingers.org/code/SSHBlack.html

Mehr über die Forensuche, das Thema wurde schon häufiger besprochen

poweradmin
02.07.05, 23:42
dann konfiguriere doch den sshd so, daß er auf einem anderen port läuft.
Möglichst einen den du natürlich nicht brauchst.
Firewall natürlich nicht vergessen mit zu ändern!

LordDarkmage
03.07.05, 08:18
Zudem alle Sicherheitsupdates machen, das System also auf dem neuesten Stand halten. Dienste abschalten, die du nicht wirklich brauchst. Könnte ja sein, dass er dein System demnächst systematisch nach Services abscannt und es dann halt da versucht.

btw... Man müsste doch den Typen anzeigen können oder nicht?

Tomek
03.07.05, 10:13
btw... Man müsste doch den Typen anzeigen können oder nicht?
Anzeigen wegen Login-Versuchen? Dazu kommt, dass es evtl. ein Wurm/Bot oder sonst was ist und derjenige überhaupt nichts davon weiss.

-hanky-
03.07.05, 10:14
Es gibt im Netz auch diverse IPTables-Lösungen, welche eine IP nach drei fehlgeschlagenen Logins für eine Minute sperren. Einfach mal suchen.

-hanky-

steve-e
03.07.05, 10:26
Iptables werden ihm bei einem vServer nicht viel helfen.
Gibt aber auch Perl-Scripte, die das ganze übernehmen, hab nur leider gerade keins zur Hand.

Tomek
03.07.05, 10:33
Alternativ einfach den Standard-Port des SSH-Servers verändern. Ansonsten brauchst du dir keine Sorgen machen, wenn du ein komplexes und relativ sicheres Passwort hast und kannst somit die Login-Versuche ignorieren.

psy
03.07.05, 10:35
und auch bitte darauf achten, dass nur sshv2 akzeptiert wird...

in sshd_config

Protocol 2

Krischi
03.07.05, 11:51
Und vor allem:

Logs ließt man nicht zum Spaß oder aus Langeweile o.ä.
Die sollten schon regelmäßig ganz bewußt und gezielt kontrolliert werden.
Dafür gibt's die ja.
;)

IT-Low
03.07.05, 13:12
Dazu kommt, dass es evtl. ein Wurm/Bot oder sonst was ist und derjenige überhaupt nichts davon weiss.

Naja, bei der heutigen Rechtssprechung würde es mich nicht wundern, wenn ein Wurm für schuldig erklärt wird. Aber ich weiss, du meinst den Besitzer des kompromittierten Rechners. Der ist dann aber nicht ganz unschuldig, auch wenn er nichts davon weiss...

LordDarkmage
03.07.05, 20:21
Anzeigen wegen Login-Versuchen? Dazu kommt, dass es evtl. ein Wurm/Bot oder sonst was ist und derjenige überhaupt nichts davon weiss.
Ja, wegen Login-Versuchen. Das ist Hausfriedensbruch und gilt auch für Computer/Serveranlagen. Du darfst ja auch nicht deine Schlüssel in fremden Schlössern ausprobieren. Das ist auch verboten. Und wenn plötzlich einer passen sollte, dann ist das trotzdem Einbruch.

Mein Server im Datacenter ist auch auf diese Weise "geknackt" worden. Damals war ich ncoh so dumm und hatte ein recht simples PW gehabt. Trotzdem hab ich Anzeige erstattet und bin damit auch durchgekommen.

Und was den Bot angeht. Das ist unerheblich. Demnach könnte sich jeder vermeintliche Anfänger "versehentlich" einen Bot/Wurm eingefangen haben. Unwissenheit schützt vor Strafe nicht.

phoenix22
03.07.05, 23:06
Ja, wegen Login-Versuchen. Das ist Hausfriedensbruch und gilt auch für Computer/Serveranlagen. Du darfst ja auch nicht deine Schlüssel in fremden Schlössern ausprobieren. Das ist auch verboten. Und wenn plötzlich einer passen sollte, dann ist das trotzdem Einbruch.


Eh was? Das hat rein gar nix mit Hausfriedensbruch im Sinne von § 123 StGB zu tun, sondern je nachdem z.B. Computersabotage i.S. § 303b StGB und Ausspähen von Daten § 202a StGB.

Bitte bitte bitte, nicht immer irgendwelche Sachen in die Welt setzen :mad: :mad:



Unwissenheit schützt vor Strafe nicht.


Wieder falsch, wer kein Wissen hat, hat auch keinen Vorsatz, hat also höchstens fahrlässig gehandelt.

smoon
04.07.05, 00:06
Hi@all!

Wie bereits im Titel erwähnt habe ich den begründeten Verdacht, dass mein (v)Server angegriffen wird. Gestoßen bin darauf, als ich zum Spaß mal die Logs in /var/log durchgeschaut hab.

(...)

Für mich sieht das aus, wie eine Dictionary-Attack auf ssh.

Ich würde nun gerne eure Meinung dazu hören. Außerdem würde ich gerne wissen, ob man irgendwo das Limit für fehlgeschlagene Logins pro IP global begrenzen kann, um solche Angreifer zB nach 2 Versuchen per IP zu bannen.

Noch ein Wort zum System:
- vServer von vserver.de
- RedHat

Gruß,

lynix

Das Problem hat wohl jeder, der einen eigenen Server betreibt: Wörterbuch-Angriffe auf ssh, der Webserver wird nach Schwachstellen abgeklappert, und und und. Das wichtigste ist, immer die aktuellen Sicherheitsupdates deiner Distribution einspielen und starke Passwörter wählen.

Habe vor kurzem auch überlegt mir sowas wie http://www.pettingers.org/code/SSHBlack.html. Aber nachdem ich mich mal via Google schlau gemacht habe, ist man ohne solche Tools besser beraten. Solang man sshd richtig konfiguriert hat und starke Passwörter (oder besser noch "Key based athentication") benutzt hat ein Angreifer keine Chance.

Hier noch ein paar Tipps:

root nicht über ssh einloggen lassen, stattdessen su und/oder sudo benutzen. ("PermitRootLogin no")
Passwörter z.B. von apg (http://www.adel.nursat.kz/apg/) erzeugen lassen.
LoginGraceTime (die Zeit in der man sich erfolgreich eingeloggt haben muss, bevor sshd die Verbindung schließt) in der sshd_config runtersetzen (20s sind i.d.R. ausreichend).
"MaxStartups 1" in der sshd_config bewirkt, dass sshd nur einen gleichzeitigen Loginversuch zulässt - bei "2" dürften sich z.B. zwei Leute zur selben Zeit auf deinem Server einloggen (solang du keine Shell Accounts verkaufst sollte "1" vollkommen ausreichen).
"Protocol 2" und _NICHT_ "Protocol 1,2"
"AllowUsers " setzen. Z.B. würde "AllowUsers Peter Maria Hans" nur den Usern Peter, Maria und Hans den Zugang via ssh gestatten (Lies dazu am besten mal die manpage (`man 5 sshd_config'), "AllowUsers" kennt auch Wildcards und man kann User auch nur den Zugriff von bestimmten anderen Hosts aus gestatten.
Du kannst natürlich auch "PasswordAuthentication no" setzen, so dass man sich _nur noch_ mit Key einloggen kann. Den Key könntest du dann z.B. auf einem USB-Stick speichern um dich auch von anderen Computern aus auf deinem Server einloggen zu können.
sshd auf einem anderen Port hören lassen; Oder noch besser den ssh-Port mittels iptables zu lassen und von knockd (http://www.zeroflux.org/cgi-bin/cvstrac/knock/wiki) oder einem anderen Portknocking Daemon nur bei Bedarf öffnen lassen.


Gibt bestimmt noch mehr, was man machen kann um sshd abzusichern - aber einerseits ist der zusätzliche Schutz, den man bekommt, ab einem bestimmten Punkt so gering, dass der Aufwand IMHO nicht lohnt. Andererseits muss man immer zwischen Benutzerfreundlichkeit und Sicherheit abwägen...

Außerdem würde ich mich nicht zusehr auf die Sicherheit von sshd konzentrieren, andere Dienste wie der httpd oder ein Mailserver sind i.d.R wesentlich anfälliger für Angriffe...

Vielleicht steht ja auch im Linux Security HOWTO (http://www.tldp.org/HOWTO/Security-HOWTO/) noch was nützliches drin.

chrisi1698
04.07.05, 10:44
kann mir wer erklaeren, was solche dictionary attacks eigentlich bringen sollen?
ich mein, wenn der sshd einem 'login incorrect' mitteilt, weiss man ja nicht mal ob der username oder das pw falsch war, und da jeder name vielleicht 4mal hintereinander probiert wird.... selbst wenns den usernamen gaebe waere es ein riesiger zufall, wenn bei den 4 versuchen das richtige pw dabei waere... oder hab ich nen denkfehler im konzept?

lg, chris

MiGo
04.07.05, 10:59
selbst wenns den usernamen gaebe waere es ein riesiger zufall, wenn bei den 4 versuchen das richtige pw dabei waere... oder hab ich nen denkfehler im konzept?
Ja, hast du.
Du gehtst davon aus, dass ein überwiegender Teil der computernutzenden Bevölkerung weiss, was ein "sicheres" Passwort ist.
Der Trick bei solchen Wörterbuchattacken ist nicht, dass man in ein bestimmtes System will, sondern dass man in _irgendein_ System will. Wenn man nur genug Rechner durchprobiert, ist garantiert einer dabei bei dem man mit "andreas:andreas" reinkommt.

MiGo

brainchaos
04.07.05, 11:06
Moin,

http://de.wikipedia.org/wiki/Wörterbuchangriff


Durch ein spezielles Programm werden die Einträge der Paswortliste als Benutzername oder Passwort durchprobiert. Möglich ist auch das Verwenden von zwei getrennten Listen für Benutzername und Passwort. Viel häufiger ist jedoch die Verwendung einer Combo-List, einer kombinierten Liste aus Benutzername und Passwort solchen Formats: Benutzername:Passwort

Gruss BC

Krischi
04.07.05, 11:07
oder hab ich nen denkfehler im konzept?Eigentlich nicht.

Aber die Tatsache, daß die überwiegende Zahl der Nutzer und auch Administratoren bei Nutzernamen und Passwörtern einen immensen Kreativitätsmangel an den Tag legt, macht einen Strich durch Dein Konzept.

Zu den häufigsten Kombinationen dürfte z.B.
Nutzername: admin
Passwort: admin
gehören.
Da würden mich Trefferquoten im Prozentbereich überhaupt nicht überraschen.
Dies und ähnlich unkreatives kann entsprechend ausgelegte Angriffe recht erfolgreich werden lassen.

mbo
04.07.05, 11:10
Einige Dienste und / oder Anwendungen setzen ihren eigenen Benutzer, der meist Standardpasswörter hat. Ist die sshd_config nicht angepaßt, könnte es leicht passieren, daß sich der benutzer adabas mit dem standardpasswort per ssh einloggen kann und dann entsprechend eine shell bekommt.

cu/2 iae

lynix
04.07.05, 12:30
Hi@all!

Erstmal Vielen Vielen Dank für die zahlreichen Anregungen und Tips!!!

Nun, ich hab als erstes die IPTables-Methode ausprobiert, funktioniert allerdings leider nicht, da es ein vServer ist.
Dann hab ich den SSHD-Port ändern wollen, was aber komischerweise nicht funktioniert:

Egal, welchen Port ich in der /etc/ssh/sshd_config oder /etc/ssh/ssh_config eintrage, der sshd läuft immer auf dem Standardport weiter (22). Gibts da noch irgendwo n Configfile für?? Achja, nebenbei: Kann ich irgendwie den SSHD in die Services aufnehmen, sodass ich ihn manuell per "service sshd restart" neustarten kann? Kommt nämlich doof immer nen reboot machen zu müssen... ^^


Gruß,

lynix

swen1
04.07.05, 12:35
Und vor allem:

Logs ließt man nicht zum Spaß oder aus Langeweile o.ä.
Die sollten schon regelmäßig ganz bewußt und gezielt kontrolliert werden.
Dafür gibt's die ja.
;)

:D
Das wäre schön, ist aber sicherlich kaum möglich. Meine Server produzieren zusammen grob geschätzt bestimmt 50 Logeinträge pro Sekunde. Das manuell durchzusehen (oder auch bewußt und gezielt zu kontrollieren) ist wohl nicht zu schaffen! ;)

chrisi1698
04.07.05, 12:49
@ Krischi und MiGo:
hmm dann muss man irgendwie seine user zur vernunft pruegeln - irgendwo muesste man die minimale passwortlaenge eh einstellen koennen.

irgendwann mach ich mal spasseshalber nen sshd auf port 22 mit admin:admin auf und schau was der angreifer dann macht wenn er drin ist ;)
..sich aergern, dass er auf einer virtual machine und in einem chroot-jail ist, wo er nur ne datei 'i was here' anlegen kann?^^

@ lynix:
/etc/init.d/sshd restart
sollte reichen.... brauchst ja nicht rebooten.... ;) und @ service - das ist nur n script das genau das selbe macht wie eben gesagt. aber schaus dir einfach mal an.. % vi `which service`

und lass die ssh_config, die hat mit dem sshd gar nix zu tun. zu dem portproblem kann ich leider nichts sagen, bei mir hats mit dem eintrag in der sshd_config Port xxx immer funktioniert...

lg chris

Multe
04.07.05, 13:23
Das beste sind immernoch sicher Passwörter (sicheres System mal vorrausgesetzt)

Es gibt ja auch Helden die denken "AdMin" sei sicher.
Ich behaupte mal Passwörter wie "HD.!hs738,de=d" sind wirklich sicher. Ok merken kann man sich sowar schlecht, aber Eselbrücken sind dafür echt gut.

"Ich habe ein sicheres Passwort" -> "_IhesP=3839" is z.B. auch nich wirklich schwach.

Sorry wenn es zu allgemein war.
Gruß Malte

Blackhawk
04.07.05, 13:27
Auf meinen vserver habe ich aus Sicheheitsgruenden alle Passworte deaktiviert, d.h. ein einloggen ist nur noch ueber das Public-/Private-Key-Verfahren moeglich.

lynix
04.07.05, 13:39
@chrisi1698: Das ist ja gerade das Problem, es gibt keine /etc/init.d/sshd ! :)
Es gibt nur eine /etc/pam.d/sshd und die akzeptiert keine start, stop oder restart :)

lynix
04.07.05, 13:50
Achja, hab nochwas gefunden, es gibt eine /etc/xinetd.d/sshd, aber die sieht so aus:



service ssh
{
disable = no
socket_type = stream
type = UNLISTED
port = 22
protocol = tcp
wait = no
user = root
server = /usr/sbin/sshd
server_args = -i
}

Krischi
04.07.05, 13:57
Ich behaupte mal Passwörter wie "HD.!hs738,de=d" sind wirklich sicher.

"Ich habe ein sicheres Passwort" -> "_IhesP=3839" is z.B. auch nich wirklich schwach.Ergänzend sei angemerkt, daß beide Passwörter ab sofort von niemandem mehr irgendwo verwendet werden sollten.


Das wäre schön, ist aber sicherlich kaum möglich. Meine Server produzieren zusammen grob geschätzt bestimmt 50 Logeinträge pro Sekunde. Das manuell durchzusehen (oder auch bewußt und gezielt zu kontrollieren) ist wohl nicht zu schaffen!Von manuell war ja auch nicht die Rede ;)

Ich gebe zu, ich habe keine Ahnung, mit welchen Mengen an Log-Einträgen ein Server in der Regel um sich schmeißt.
Aber sind Tools wie logcheck da nicht eine gewisse Hilfe?

cane
04.07.05, 15:23
:D
Das wäre schön, ist aber sicherlich kaum möglich. Meine Server produzieren zusammen grob geschätzt bestimmt 50 Logeinträge pro Sekunde. Das manuell durchzusehen (oder auch bewußt und gezielt zu kontrollieren) ist wohl nicht zu schaffen! ;)

1. Es gibt Tools die deine Logfiles auswerten und aufbereiten - das sollte die Arbeit bereits wesentlich erleichtern. Alternativ kann man natürlich händisch nach interessanten Einträgen suchen; simples Beispiel: "cat /var/log/messages|grep sshd"

Zu der Thematik User verwenden schwache Passwörter: In einem Sicherheitsaudit eines Rootserverbetreibers oder Webspacebetreibers, abgedruckt im Linux-Magazin, konnte der Autor über 500 Accounts knacken indem er die mangelhaft abgesicherten Systeme ihre eigenen /etc/passwd/ knacken ließ :ugly:

Wer den eigenen Usern vertraut, und sei es der langjährige Kollege, hat in der IT nichts zu suchen. Ein gesundes Maß an Skepsis ist immer angebracht...

mfg
cane

chrisi1698
04.07.05, 16:34
Achja, hab nochwas gefunden, es gibt eine /etc/xinetd.d/sshd, aber die sieht so aus:



service ssh
{
disable = no
socket_type = stream
type = UNLISTED
port = 22
protocol = tcp
wait = no
user = root
server = /usr/sbin/sshd
server_args = -i
}


sag doch gleich dass du den sshd ueber dein xinetd startest ;) dann musst du natuerlich dort den port auch aendern...
den server startest du dann am besten neu indem du den xinetd neustartest:
# /etc/init.d/xinetd restart

/etc/pam.d/sshd ist die config fuer das PluggableAuthenticationModule, falls du in der sshd_config 'UsePAM yes' eingetragen hast und ist ein ascii-file. warum nimmt das nur kein restart? :ugly:

lg, chris

Thomas Engelke
05.07.05, 09:06
"cat /var/log/messages|grep sshd"

Hehe. Ein klarer Fall von "Useless use of cat (http://www.ruhr.de/home/smallo/award.html)"-award :)

TME