PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Was tun bei Einbruchversuch?



Stolzi
04.10.06, 13:55
Hallo,

bei mir versucht gerade die ganze Zeit wer am Server einzubrechen:



Oct 4 13:53:10 h900687 sshd[14504]: Invalid user apache from 69.20.11.96
Oct 4 13:53:09 h900687 sshd[14502]: Invalid user apache from 69.20.11.96
Oct 4 13:53:10 h900687 sshd[14504]: Invalid user apache from 69.20.11.96
Oct 4 13:53:11 h900687 sshd[14506]: Invalid user apache from 69.20.11.96
Oct 4 13:53:13 h900687 sshd[14510]: Invalid user support from 69.20.11.96
Oct 4 13:53:14 h900687 sshd[14512]: Invalid user support from 69.20.11.96
Oct 4 13:53:14 h900687 sshd[14514]: Invalid user support from 69.20.11.96
Oct 4 13:53:15 h900687 sshd[14516]: Invalid user support from 69.20.11.96
Oct 4 13:53:16 h900687 sshd[14518]: Invalid user support from 69.20.11.96
Oct 4 13:53:17 h900687 sshd[14520]: Invalid user support from 69.20.11.96
Oct 4 13:53:18 h900687 sshd[14522]: Invalid user support from 69.20.11.96


Was sollte bzw kann ich dagegen tun?

Danke
Stolzi

bla!zilla
04.10.06, 13:56
IP notieren, bei ripe.net eingeben, gucken zu welchem ISP die IP gehört und eine Mail hinschicken.

Stolzi
04.10.06, 13:58
Der gibts nicht auf. MaxAuthTries bringt mir nix weil er immer wieder andere User versucht. Kann ich irgendwie sagen, daß eine IP nach x nicht erfilgreichen Anmeldeversuchen gesperrt wird?

Danke
Stolzi

corresponder
04.10.06, 14:01
wenn du gute passwörter hast,
wird er es kaum schaffen.

oder:

http://www.linuxforen.de/forums/showthread.php?t=221517&highlight=sperren


gruss

c.

Rain_maker
04.10.06, 14:03
http://www.dnsstuff.com

Bsp. "IPWHOIS Lookup"

http://www.dnsstuff.com/tools/whois.ch?ip=69.20.11.96



Location: United States [City: ]

NOTE: More information appears to be available at IPADM17-ARIN.


OrgName: Rackspace.com, Ltd.
OrgID: RSPC
Address: 112 E. Pecan St.
Address: Suite 600
City: San Antonio
StateProv: TX
PostalCode: 78205
Country: US

NetRange: 69.20.0.0 - 69.20.127.255
CIDR: 69.20.0.0/17
NetName: RSPC-NET-4
NetHandle: NET-69-20-0-0-1
Parent: NET-69-0-0-0-0
NetType: Direct Allocation
NameServer: NS.RACKSPACE.COM
NameServer: NS2.RACKSPACE.COM
Comment:
RegDate: 2003-01-24
Updated: 2004-04-28

OrgAbuseHandle: ABUSE45-ARIN
OrgAbuseName: Abuse Desk
OrgAbusePhone: +1-210-892-4000
OrgAbuseEmail: *****@rackspace.com

OrgTechHandle: IPADM17-ARIN
OrgTechName: IPADMIN
OrgTechPhone: +1-210-892-4000
OrgTechEmail: *******@rackspace.com

OrgTechHandle: ZR9-ARIN
OrgTechName: Rackspace, com
OrgTechPhone: +1-210-892-4000
OrgTechEmail: **********@rackspace.com

# ARIN WHOIS database, last updated 2006-10-03 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

Für die Mail-Adressen gibts den Link unten rechts:

If E-mail address(es) were hidden on this page, you can click here to get the results with the E-mail address (http://www.dnsstuff.com/tools/whois.ch?ip=69.20.11.96&email=on)

Greetz,

RM

Stolzi
04.10.06, 14:04
Ähh, also entweder check ich das nicht, oder ich weiß nicht... Das ist das Ergebnis nach der IP Suche nach 69.20.11.96:



% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-proposal-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag

% Information related to '0.0.0.0 - 255.255.255.255'

inetnum: 0.0.0.0 - 255.255.255.255
netname: IANA-BLK
descr: The whole IPv4 address space
country: EU # Country is really world wide
org: ORG-IANA1-RIPE
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
status: ALLOCATED UNSPECIFIED "status:" definitions
remarks: The country is really worldwide.
remarks: This address space is assigned at various other places in
remarks: the world and might therefore not be in the RIPE database.
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: RIPE-NCC-HM-MNT
mnt-routes: RIPE-NCC-RPSL-MNT
source: RIPE # Filtered

organisation: ORG-IANA1-RIPE
org-name: Internet Assigned Numbers Authority
org-type: IANA
address: see http://www.iana.org
remarks: The IANA allocates IP addresses and AS number blocks to RIRs
remarks: see http://www.iana.org/ipaddress/ip-addresses.htm
remarks: and http://www.iana.org/assignments/as-numbers
e-mail: bitbucket@ripe.net
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered

role: Internet Assigned Numbers Authority
address: see http://www.iana.org.
e-mail: bitbucket@ripe.net
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
nic-hdl: IANA1-RIPE
remarks: For more information on IANA services
remarks: go to IANA web site at http://www.iana.org.
mnt-by: RIPE-NCC-MNT
source: RIPE # Filtered



Sol ich nun ein Mail an bitbucket@ripe.net schicken? Ich glaube nicht, daß das richtig ist, oder?

Stolzi
04.10.06, 14:05
Oh, ok danke für die Antworten. Hatte schon geschrieben.

Rain_maker
04.10.06, 14:08
Nach Klick auf den Link wird folgende E-Mail angezeigt:

OrgAbuseEmail: abuse(at)rackspace.com

Denke das ist die, an die man sich wenden sollte.

Greetz,

RM

netzmeister
04.10.06, 15:10
Hallo,

derartiges ist doch ganz normal.

Viele Grüße

Eicke

AceTheFace
04.10.06, 16:18
Ich setze dazu fail2ban ein. Zweimal das falsche Kennwort und die IP wird automatisch für die nächsten 60 Minuten gesperrt. Hält zumindest die Logs halbwegs sauber.

Gruß,
Ace

Ohr4u|tux
04.10.06, 23:48
Ich setze dazu fail2ban ein. Zweimal das falsche Kennwort und die IP wird automatisch für die nächsten 60 Minuten gesperrt. Hält zumindest die Logs halbwegs sauber.

Gruß,
Ace

Habe bei mir ssh auf einen Port >1024 gelegt und hatte noch nie einen Loginversucht, der fehlgeschlagen ist.

corresponder
04.10.06, 23:57
stimmt, hab auch nie 22 als port - lol

gruss

c.

zyrusthc
05.10.06, 00:23
stimmt, hab auch nie 22 als port - lol

gruss

c.
Ja alle die das Problem haben , haben zufällig immer port22 für den sshd :)

Greeez Oli

dingeling
05.10.06, 15:39
stimmt, hab auch nie 22 als port - lol
Alles schön und gut - aber was machst du wenn du durch ner Firewall musst der nur auf Port 22 offen ist und du diesen Firewall nicht unter deiner Administration hast?
Genau, Standardport 22 benutzen...

...und für den Logmüll fail2ban verwenden wie AceTheFace schon vorgeschlagen hat.

pfleidi85
06.10.06, 00:24
Also ich hab eine Kombination aus sicheren Passwoertern bzw. Passphrase geschuetztem Keyfile, denyhosts (http://denyhosts.sourceforge.net/) und Port > 1024.

Wobei letztere Methode am wirkungsvollsten ist. Als ich den sshd noch auf Port 22 laufen hatte, hat mir denyhosts ein paarmal am Tag mails geschickt, dass wieder ein Angriff stattgefunden hat. Durch Aenderung des Ports ist nun Ruhe :)

syst3mlord
06.10.06, 16:13
Alles schön und gut - aber was machst du wenn du durch ner Firewall musst der nur auf Port 22 offen ist und du diesen Firewall nicht unter deiner Administration hast?
Genau, Standardport 22 benutzen...


is doch ******* egal?! ich geh mit 22 auf die firewall und bleibe dann bei 1024 am rechner hängen - abgesehen davon - wenn jemand schon auf die firewall geloggt hat der keinen offiziellen zugriff dort hat, isses eh schon bös :eek:

1. sollte man den firewall port zumindest auf ne 3-stellige ändern
2. den client-port ändern

dann hat man schon ruhe

wenn du an die firewall nicht rankommst, isses eh nicht dein problem...

slowatsch
10.10.06, 09:19
Du scheinst das Post nich richtig gelesen zu haben, so wie ich das verstehe spricht er nicht von seiner Firewall, sondern von der Firewall in seiner Firma oder sonst wo, die nicht er administriert. Is auch der Grund wieso ich den Standartport verwende, weil nur bestimmte als Destination Ports freigeschaltet sind. Da können auch noch 20 Leute kommen und sagen ich soll den Port ändern.

syst3mlord
10.10.06, 09:45
naja so hab ichs doch auch verstanden dass die firewall extra in der firma is - is doch bei uns nicht anderes, aber nicht mit 22...

Syd2
14.10.06, 17:59
du könntest auch einfach einen key mit passphrase auf dem Rechner hinterlegen und die passwörter nullen - dann kannst die loginversuche getrost ignoieren

MDK-user
08.11.06, 11:30
wie bei allen kommen auf Port22 haufenweise Versuche rein das aufzubohren, hatten wir auch, ich bin einfach beigegangen und habe den Zugriff direkt aus dem Inet dicht gemacht per Iptables..... dann VPN eingerichtet und Lokal+LAN SSH zugelassen, Ruhe war im Karton ;) Der Vorteil ist das so der SSH nicht mehr am Inet liegt... Ruhe und keine ständigen Mails mit Warnungen mehr ;)

Gruß