Ich war gerad im Netz unterwegs, da fror mein Rechner ein. Erst KDE, es bewegte sich nur noch die Maus, dann hab ich mich auf der Konsole einloggen wollen, ich kam nur bis zur Eingabe des Nutzers root. Ein Versuch den Rechner per ssh zu erreichen schlug fehl, soll heißen, dass er den PC nicht mehr erreicht hat. Beim Durchsuchen der /var/log/messages/ stieß ich auf Folgendes:



Jun 14 17:27:36 zwailin sshd[6177]: Did not receive identification string from 12.96.197.7
Jun 14 17:36:53 zwailin sshd[6218]: Invalid user a from 12.96.197.7
Jun 14 17:36:55 zwailin sshd[6220]: Invalid user b from 12.96.197.7
[...]
Jun 14 17:37:38 zwailin sshd[6258]: Invalid user u from 12.96.197.7
Jun 14 17:37:40 zwailin sshd[6260]: Invalid user v from 12.96.197.7
Jun 14 17:37:42 zwailin sshd[6262]: Invalid user w from 12.96.197.7
Jun 14 17:37:44 zwailin sshd[6264]: Invalid user x from 12.96.197.7
Jun 14 17:37:46 zwailin sshd[6266]: Invalid user y from 12.96.197.7
Jun 14 17:37:48 zwailin sshd[6268]: Invalid user z from 12.96.197.7
Jun 14 17:37:50 zwailin sshd[6271]: Invalid user aa from 12.96.197.7
Jun 14 17:37:52 zwailin sshd[6273]: Invalid user bb from 12.96.197.7
Jun 14 17:37:54 zwailin sshd[6275]: Invalid user cc from 12.96.197.7

Jun 14 17:38:57 zwailin sshd[6334]: Invalid user user from 12.96.197.7
Jun 14 17:38:59 zwailin sshd[6336]: Invalid user admin from 12.96.197.7
Jun 14 17:39:01 zwailin sshd[6338]: Invalid user administrator from 12.96.197.7
[...]
Jun 14 17:39:03 zwailin sshd[6340]: Invalid user operator from 12.96.197.7
Jun 14 17:39:05 zwailin sshd[6342]: Invalid user transfer from 12.96.197.7
Jun 14 17:39:07 zwailin sshd[6344]: Invalid user alexander from 12.96.197.7
Jun 14 17:39:09 zwailin sshd[6346]: Invalid user alexandre from 12.96.197.7
Jun 14 17:39:11 zwailin sshd[6348]: Invalid user michael from 12.96.197.7
Jun 14 17:39:13 zwailin sshd[6350]: Invalid user mike from 12.96.197.7
Jun 14 17:39:15 zwailin sshd[6352]: Invalid user john from 12.96.197.7
Jun 14 17:39:17 zwailin sshd[6354]: Invalid user scp from 12.96.197.7
Jun 14 17:39:19 zwailin sshd[6356]: Invalid user sgi from 12.96.197.7
Jun 14 17:39:21 zwailin sshd[6358]: Invalid user php from 12.96.197.7
Jun 14 17:40:08 zwailin sshd[6405]: Invalid user guest from 12.96.197.7
Jun 14 17:40:10 zwailin sshd[6407]: Invalid user angel from 12.96.197.7
Jun 14 17:40:13 zwailin sshd[6409]: Invalid user winamp from 12.96.197.7
Jun 14 17:40:33 zwailin sshd[6427]: Invalid user cristian from 12.96.197.7
Jun 14 17:40:35 zwailin sshd[6429]: Invalid user no from 12.96.197.7
Jun 14 17:40:37 zwailin sshd[6431]: Invalid user victor from 12.96.197.7
Jun 14 17:40:39 zwailin sshd[6433]: Invalid user bianca from 12.96.197.7
Jun 14 17:40:41 zwailin sshd[6435]: Invalid user larisa from 12.96.197.7
Jun 14 17:40:43 zwailin sshd[6437]: Invalid user sharon from 12.96.197.7
Jun 14 17:40:44 zwailin sshd[6439]: Invalid user tom from 12.96.197.7
Jun 14 17:40:46 zwailin sshd[6441]: Invalid user text from 12.96.197.7
Jun 14 17:40:48 zwailin sshd[6443]: Invalid user document from 12.96.197.7
Jun 14 17:40:50 zwailin sshd[6446]: Invalid user flood from 12.96.197.7
Jun 14 17:40:52 zwailin sshd[6448]: Invalid user edu from 12.96.197.7
Jun 14 17:40:54 zwailin sshd[6450]: Invalid user rich from 12.96.197.7
Jun 14 17:40:56 zwailin sshd[6452]: Invalid user microsoft from 12.96.197.7
Jun 14 17:40:58 zwailin sshd[6454]: Invalid user original from 12.96.197.7
Jun 14 17:41:00 zwailin sshd[6456]: Invalid user alin from 12.96.197.7
Jun 14 17:41:02 zwailin sshd[6458]: Invalid user smart from 12.96.197.7
Jun 14 17:41:07 zwailin sshd[6460]: Invalid user start from 12.96.197.7
[...]
Jun 14 17:43:50 zwailin sshd[6618]: Invalid user deep from 12.96.197.7
Jun 14 17:43:52 zwailin sshd[6620]: Invalid user inside from 12.96.197.7
Jun 14 17:43:54 zwailin sshd[6622]: Invalid user in from 12.96.197.7
Jun 14 17:52:35 zwailin nscd: gethostby*.getanswer: asked for "www.tagesschau.de IN AAAA", got type "A"

Hab das nen bissl gekürzt.


War übrigens da auch gerad auf tagesschau.de unterwegs. Das heißt doch, dass jemand auf meinen Rechner per ssh zugreifen wollte, oder?

Das heißt doch, dass jemand auf meinen Rechner per ssh zugreifen wollte, oder?

Ja, das heisst es.

Auf dem Rechner läuft ein SuSE 10.2, dass natürlich auf dem neuesten Stand ist. Der PC ist hinter einem Router, auf dem ne Firewall läuft, wobei ssh freigegeben sein sollte. Ich hab das von außen noch nie probiert, wollte das aber machen und deswegen ist es freigegeben.

Das was im Log steht ist doch normal?! (weils halt soviele Bots gibt)
Wie weit geht das denn zurück?

Wahrscheinlich hast du eine äusserst labile Systemkonfiguration.

naja so wie das aussieht versucht da einfach nen Bot alle möglichen User, stell einfach dein SSH so um das man nur noch per Key File reinkommt das ist eh sicherer
http://archiv.debianhowto.de/de/sshconfig/index.html
dann kann er probieren bis er schwarz wird, solange dein ssh aktuell ist und sonst keine Sicherheitslücken auf deinem System sind

http://www.linuxforen.de/forums/showpost.php?p=1546425&postcount=8

Greeez Oli

http://www.linuxforen.de/forums/showthread.php?t=237409