Ab und zu, so alle paar Tage, finde ich in /var/log/messages einen Eintrag wie diesen:


May 8 09:56:05 myserver IN=ppp0 OUT= MAC= SRC=xxx.xxx.xxx.xxx DST=yyy.yyy.yyy.yyy LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=6819 PROTO=TCP SPT=3047 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0

Wie kann ich herausfinden, wer in mein System einbrechen wollte bzw. von wo der Eindringling kam? Welche Tools verwendet ihr in so einem Fall?

mfg,
DGB

SRC=xxx.xxx.xxx.xxx <-- der war's.

SRC=xxx.xxx.xxx.xxx <-- der war's.
Und was ist, bei dieser Meldung, nun genau passiert? Weil ich hab hunderte von diesen Einträgen in meiner "messages" - sind das nur irgendwelche Viren die sich weiter schicken wollenm kreuz und quer durchs gesamte Netz fleuchen und Ahnungslose (/dumme/) falschkonfigurierte Windows-Rechner suchen? Oder was verbirgt sich dahinter?

DPT=22
Da sucht jemand SSH-Server die auf dem standard Port laufen und auf denen man sich mit einem standard Benutzernamen und einem einfachen Passwort anmelden kann.

vgl.:
http://www.linuxforen.de/forums/showthread.php?t=212452
http://www.linuxforen.de/forums/showthread.php?t=211007
Bei dieser Meldung ist er aber schon an den iptables haengen geblieben.
Der Angriff kommt vermutlich Scriptgesteuert aus dem fernen Osten, von einer gecrackten Maschien, da lohnt sich meist keine Nachforschung. Wenn man lustig ist kann man eine EMail an die eingetragene Abuse Addresse schicken.

Der Angriff kommt vermutlich Scriptgesteuert aus dem fernen Osten, von einer gecrackten Maschien, da lohnt sich meist keine Nachforschung. Wenn man lustig ist kann man eine EMail an die eingetragene Abuse Addresse schicken.

Wie kommst du auf den fernen Osten? Erfahrungsgemäß ist es in letzter Zeit gerade der ehemalige Ostblock der massiv aktiv ist. Kann natürlich auch regional bzw. am ISP hängen. Ich bin bei NetCologne und da sind es seit ca. vier Wochen zum größten Teil IPs von ISPs aus dem ehemaligen Ostblock.

Danke für die bisherigen Antworten. Panik bricht keine aus, denn

1. ist sshd so konfiguriert, daß nur Public Key Authentifizierung möglich ist
2. ist sshd so konfiguriert, daß es nur im internen Netz lauscht
3. läßt die Firewall keinen Verbindungsaufbau von außen zu

Ich hab auch nicht vor, gegen irgendwelche Script Kiddies vorzugehen.

Mich interessiert prinzipiell die Vorgangsweise, wie man einem Angreifer nachspürt. Wie verfolgt man jemand im Internet? In den diversen Büchern zu diesem Thema ist das ja immer toll beschrieben, wie sie den Angreifer von System zu System verfolgt haben, aber wie genau das gemacht wurde, steht nie drinnen.

Wie kommst du auf den fernen Osten? Erfahrungsgemäß ist es in letzter Zeit gerade der ehemalige Ostblock der massiv aktiv ist. Kann natürlich auch regional bzw. am ISP hängen. Ich bin bei NetCologne und da sind es seit ca. vier Wochen zum größten Teil IPs von ISPs aus dem ehemaligen Ostblock.
Der letzte Eintrag dieser Art kam aus Mexiko. Ich würde sagen, diese "Angriffe" kommen von überall. Im Internet gibt es keine Ost und West.

Wenn eine IP zu einem Dial-In Pool eines rumänischen ISPs gehört, dann gehe ich davon aus das der Versuch auch aus Rumänien kommt. Ansonsten gebe ich dir Recht. IPs lassen sich schon recht zuverlässig geografisch einordnen.

Wenn eine IP zu einem Dial-In Pool eines rumänischen ISPs gehört, dann gehe ich davon aus das der Versuch auch aus Rumänien kommt. Ansonsten gebe ich dir Recht. IPs lassen sich schon recht zuverlässig geografisch einordnen.
In einem Buch, daß ich zuletzt in Händen hatte, wurde von einem Angriff berichtet, der über mehr als 15 Stationen ging. Die IP-Adresse, die ich in meinem Log-File sehe, kann also durchaus auch einem weiteren Opfer gehören, dessen System bereits geknackt wurde.

Frage: Wie finde ich heraus, welche IP-Adresse welchem Land bzw. ISP zugeordnet ist?

In einem Buch, daß ich zuletzt in Händen hatte, wurde von einem Angriff berichtet, der über mehr als 15 Stationen ging. Die IP-Adresse, die ich in meinem Log-File sehe, kann also durchaus auch einem weiteren Opfer gehören, dessen System bereits geknackt wurde.

Korrekt.



Frage: Wie finde ich heraus, welche IP-Adresse welchem Land bzw. ISP zugeordnet ist?

RIPE Whois Abfrage.

Korrekt.

RIPE Whois Abfrage.
Danke, ich werde es mal mit whois probieren.

Wie kommst du auf den fernen Osten?[...]
Seinerzeit haben die es bei mir immer aus Thailand und Umgebung versucht, da der sshd nun auf einem anderen Port lauscht hab, ich solche Versuche nicht mehr im Log.
Ich befuerchte, deine Informationen sind wohl aktueller.
Edit:
...und basieren auf einer signifikant groesseren Datenmenge. War halt nur eine Vermutung meinerseits.

Seinerzeit haben die es bei mir immer aus Thailand und Umgebung versucht, da der sshd nun auf einem anderen Port lauscht hab, ich solche Versuche nicht mehr im Log.
Ich befuerchte, deine Informationen sind wohl aktueller.
Edit:
...und basieren auf einer signifikant groesseren Datenmenge. War halt nur eine Vermutung meinerseits.
Ich hab mir mal angesehen, woher meine Besucher kamen:

Korea
Mexico
Thailand
China
Frankreich
Japan
Deutschland
Spanien

Genau so ein "Problem" habe ich auch... Ständig wird mein Logbuch von solchen Einträgen "vollgemüllt" :ugly:

Haben diese Leute zuviel Langeweile? Ich meine das bringt den doch irgendwie nichts oder? Ich glaube nicht, dass es viele Leute gibt, mit Standardbenutzern oder des Gleichen :rolleyes:

Genau so ein "Problem" habe ich auch... Ständig wird mein Logbuch von solchen Einträgen "vollgemüllt" :ugly:

Haben diese Leute zuviel Langeweile? Ich meine das bringt den doch irgendwie nichts oder? Ich glaube nicht, dass es viele Leute gibt, mit Standardbenutzern oder des Gleichen :rolleyes:
Moin,

hast Du ne Ahnung, wie viele einfach faul sind, oder unkreativ.
Ausserdem behaupte ich mal, das die Mehrzahl der Rechner die "angreifen" das tun, während Ihr Herrchen/Frauchen in Hintergrund was anderes macht, sprich die wissen das garnicht. So schnell wie die Anfragen reinkommen, kann ich nicht tippen, also ist das automatisiert. Man nehme einen schwachen Rechner und installiere einen Wurm/Virus. Der scannt einfach verschiedene IP Bereiche und meldet Erfolge an den bösen Buben im Hintergrund und der muss nur warten bis seine Skripte ihm lohnende Ziele nennt. Erst dann wird er selber Hand anlegen. Ich glaub die Zeiten, in denen Freaks irgendwo die ganze Nacht vorm Rechner hängen und Systeme cracken wollen sind vorbei.
Solche Skripte vereinfachen die "Arbeit".
Gruß Malte

Hm, da bin ich nicht so sicher.
Hab die Tage mehrere, fast zeitgleiche Zugriffsversuche von 4-5 versch. Deutschen IP's auf Port 500 gehabt.

Nur so am Rande:
Um die Logs nach solchen Angriffen einfach auszuwerten ist das Tool "logcheck" sehr angenehm. Die Mails kann man sich dann auch in die Arbeit schicken lassen wenn man nicht die ganze Zeit vorm Terminal sitzen will...
Zumindest kann man dann sofort Maßnahmen ergreifen wenn einem etwas ungut auffällt.

Dafür bieten sich auch die Sentry-Tools in Webmin an.
(Ja ich weiss, webmin zu verwenden ist nicht besonders sicher.)
Da hat man Portsentry, Hostsentry und Logcheck unter einem Dach.
Apropos, welches Login-Record-File geb ich denn für eine SuSE in Hostsentry an?
/var/log/lastlog haut nicht hin.