PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : ssh Hackversuch ?



zyrusthc
20.12.05, 00:16
Hallo , weiss jetzt nicht ob es das richtige Forum ist.

Ich habe wie eben immer meine Logs gelesen und festgestellt das jemand sich an meinen sshd versucht hat !
Logs im Anhang !

Es sieht danach aus als hätte jemand dort ein Script gestartet was erst versucht sich als root einzuloggen und dann als user mit sämtlichen namen.

Die IP von der Quelle lässt sich anpingen.
Sieht doch ganz nach einem Hackversuch aus oder ?

gruss Oli

drcux
20.12.05, 00:24
ja, das übliche halt...

DaGrrr
20.12.05, 00:33
Setz den SSH-Server auf nen anderen Port (oberhalb von 1023), das hält wenigstens das Log sauber.

Grüße
DaGrrr

zyrusthc
20.12.05, 00:38
Gibt es ne Möglichkeit sowas zu blocken , ausser per Firewall , mein Problem ist das der ssh port offen sein muss weil ich gelegentlich von anderen Orten über das Internet auf meinen Rechner darüber zugreife.
Das weitere Problem ist das diese Adressen immer dynamisch sind und ich also nicht auf IP begrenzen kann.

Gibt es irgentwo ein Script das die logs prüft und merkt ob ssh 3mal ein falsches rootpw erhalten hat und dann den ssh für 60 Minuten anhält ?
Oder ist man da selbst wieder der Mann :rolleyes:

gruss Oli


EDIT : JA schau einer mal er hat nen httpserver am laufen die IP aus den logs http://64.146.147.151

bluesky666
20.12.05, 04:41
stell bei denem ssh einfach auf passkey um und deaktiviere einfach das man sich mit Passwort einloggen kann das wars, dann kann der ewig probieren wenn er nicht das richtige Keyfile hat gehts nicht

dingeling
20.12.05, 08:26
Schau doch mal in den Bereich "Neue Programme/Versionen".
Da wird ein Tool namens "Fail2Ban" vorgestellt.

Das könnte Interessant für dich sein.
Hält auf jeden Fall die Logs schön sauber:)

Fly
20.12.05, 08:41
Gibt es irgentwo ein Script das die logs prüft und merkt ob ssh 3mal ein falsches rootpw erhalten hat und dann den ssh für 60 Minuten anhält ?
Oder ist man da selbst wieder der Mann :rolleyes:


Ja, das lässt auch mit iptables machen. Dieses Thema wurde schon mal hier behandelt, SUFU.

baumgartner
20.12.05, 10:44
bin jetzt grad net ein netzwerk und firewalltechnisch gut drauf, mir fällt allerdings das Stichwort Portknocking ein.

grüße martin

-hanky-
20.12.05, 12:39
[...]
EDIT : JA schau einer mal er hat nen httpserver am laufen die IP aus den logs http://64.146.147.151

Ich würde dem Betreiber der Site mal eine nette E-Mail schreiben, sieht mir nämlich so aus als sei dessen Server gecrackt worden ;)

Der Gute weiß nämlich mit Sicherheit nichts davon, kann ich mir zumindest nur sehr schwer vorstellen ;)

Der Thread erinnert mich übrigens daran, dass ich den SSH-Port umlegen sollte... Vom 16. auf den 17. dieses Monats hat irgendein Idiot ernsthaft alle möglichen Namen von A-L durchprobiert... Dann kam ihm wohl die 24h-Zwangstrennung von T-Online in die Quere :ugly:

-hanky-

zyrusthc
20.12.05, 13:03
Habe den Betreiber soeben informiert und um Antwort gebeten.
Mal sehen was er zurückschreibt.

gruss Oli

LINUXRH7
20.12.05, 19:36
moin,

iptables -A INPUT -p tcp -s account-at.dyndns.org --dport 22 -j ACCEPT

alle andere blocken. dann per #> host account-at.dyndns.org abfragen ob sich die IP geändert hat. Sollte die IP neu sein soll die Firewall neu aufgebaut werden.

Wenn du dann von irgendwo auf der Welt auf den Rechner willst einfach auf die DYNDNS Page gehen einloggen und updaten lassen mit der aktuellen IP den dein Browser DYNDNS gibt.

Schon hast du ruhe und kommst noch drauf.

cya
Neo

delmonico
20.12.05, 19:59
Und übrigens:
http://de.wikipedia.org/wiki/Plenken
http://de.wikipedia.org/wiki/Hacker

Sven_R
23.12.05, 16:38
hallo

für solche sachen hat sich bei mir SSH Blocker (http://www.newald.de/index.php?id=305)
ganz gut bewährt.
man kann dort einstellen wie oft man fehlversuche akzeptiert und danch wie lange die ip gespeert wird.

seit dem ich das einsetze sind die scan versuch am gateway bei mir fast auf null zurück gegangen.

von zeit zu zeit wird es aber doch wieder versucht, wahrscheinlich um zu testen ob der ssh blocker noch
aktiv ist.

zyrusthc
23.12.05, 18:18
hallo

für solche sachen hat sich bei mir SSH Blocker (http://www.newald.de/index.php?id=305)
ganz gut bewährt.
man kann dort einstellen wie oft man fehlversuche akzeptiert und danch wie lange die ip gespeert wird.

seit dem ich das einsetze sind die scan versuch am gateway bei mir fast auf null zurück gegangen.

von zeit zu zeit wird es aber doch wieder versucht, wahrscheinlich um zu testen ob der ssh blocker noch
aktiv ist.

Danke , das ist genau das was ich gesucht habe :)

gruss Oli