Grüß euch,

vor ein paar Tagen hat es bei uns einen Stromausfall gegeben und meinen Router resettet, dh. er hat über DHCP (ist ein netgear RP614 router) die IP- Adressen neu verteilt. Alles schön und gut nur bin ich heute drauf gekommen als ich eine Meldung von GNOME bekommen habe ob ich nicht vielleicht via VNC die Remotesteuerung für den erlauben will. Dabei bin ich drauf gekommen das die Router Firewall DMZ einstellungen für meinen Rechner aktiviert waren, also das keine Firewall für die IP aktiviert war (Grund dafür war nämlich das die Xbox360 ohne Firewall auf Xbox Live kommt und nun hat wohl mein PC die IP adresse bekommen die damals meine 360er hatte). Ist ja kein Problem nur das einzige wirkliche Problem ist das ich weder den netfilter im Kernel aktiviert hab noch iptables installiert sind und sshd ist auch gerannt. Von sshd hab ich jede Menge einlog versuche im log stehen.

Hier ein Auszug:


Aug 28 15:56:03 zaepfchen sshd[29717]: Invalid user willa1 from 212.24.175.173
Aug 28 15:56:03 zaepfchen sshd[29719]: Invalid user willow1 from 212.24.175.173
Aug 28 15:56:04 zaepfchen sshd[29721]: Invalid user wilma1 from 212.24.175.173
Aug 28 15:56:04 zaepfchen sshd[29723]: Invalid user wilmarie1 from 212.24.175.173
Aug 28 15:56:05 zaepfchen sshd[29725]: Invalid user winona1 from 212.24.175.173
Aug 28 15:56:05 zaepfchen sshd[29727]: Invalid user woodward1 from 212.24.175.173
Aug 28 15:56:06 zaepfchen sshd[29729]: Invalid user woodworth1 from 212.24.175.173
Aug 28 15:56:06 zaepfchen sshd[29731]: Invalid user wren1 from 212.24.175.173
Aug 28 15:56:07 zaepfchen sshd[29733]: Invalid user wynne1 from 212.24.175.173
Aug 28 15:56:08 zaepfchen sshd[29735]: Invalid user wynonna1 from 212.24.175.173
Aug 28 15:56:08 zaepfchen sshd[29737]: Invalid user xanthe1 from 212.24.175.173
Aug 28 15:56:09 zaepfchen sshd[29739]: Invalid user xanthia1 from 212.24.175.173
Aug 28 15:56:09 zaepfchen sshd[29741]: Invalid user xavia1 from 212.24.175.173
Aug 28 15:56:10 zaepfchen sshd[29743]: Invalid user xaviera1 from 212.24.175.173
Aug 28 15:56:10 zaepfchen sshd[29745]: Invalid user xena1 from 212.24.175.173
Aug 28 15:56:11 zaepfchen sshd[29747]: Invalid user xenia1 from 212.24.175.173
Aug 28 15:56:11 zaepfchen sshd[29749]: Invalid user xochitl1 from 212.24.175.173
Aug 28 15:56:12 zaepfchen sshd[29751]: Invalid user yana1 from 212.24.175.173
Aug 28 15:56:13 zaepfchen sshd[29753]: Invalid user yanath1 from 212.24.175.173
Aug 28 15:56:13 zaepfchen sshd[29755]: Invalid user yasmine1 from 212.24.175.173
Aug 28 15:56:14 zaepfchen sshd[29757]: Invalid user yesenia1 from 212.24.175.173
Aug 28 15:56:14 zaepfchen sshd[29759]: Invalid user yodit1 from 212.24.175.173
Aug 28 15:56:15 zaepfchen sshd[29761]: Invalid user yoko1 from 212.24.175.173
Aug 28 15:56:15 zaepfchen sshd[29763]: Invalid user yolanda1 from 212.24.175.173
Aug 28 15:56:16 zaepfchen sshd[29765]: Invalid user yseult1 from 212.24.175.173
Aug 28 15:56:16 zaepfchen sshd[29767]: Invalid user yuko1 from 212.24.175.173
Aug 28 15:56:17 zaepfchen sshd[29769]: Invalid user yumi1 from 212.24.175.173
Aug 28 15:56:17 zaepfchen sshd[29771]: Invalid user yvette1 from 212.24.175.173
Aug 28 15:56:18 zaepfchen sshd[29773]: Invalid user yvonne1 from 212.24.175.173
Aug 28 15:56:18 zaepfchen sshd[29775]: Invalid user zabrina1 from 212.24.175.173
Aug 28 15:56:19 zaepfchen sshd[29777]: Invalid user zakiya1 from 212.24.175.173
Aug 28 15:56:19 zaepfchen sshd[29779]: Invalid user zalika1 from 212.24.175.173
Aug 28 15:56:20 zaepfchen sshd[29781]: Invalid user zana1 from 212.24.175.173
Aug 28 15:56:20 zaepfchen sshd[29783]: Invalid user zandra1 from 212.24.175.173
Aug 28 15:56:21 zaepfchen sshd[29785]: Invalid user zandria1 from 212.24.175.173
Aug 28 15:56:21 zaepfchen sshd[29787]: Invalid user zanna1 from 212.24.175.173
Aug 28 15:56:22 zaepfchen sshd[29789]: Invalid user zara1 from 212.24.175.173
Aug 28 15:56:23 zaepfchen sshd[29791]: Invalid user zayna1 from 212.24.175.173
Aug 28 15:56:23 zaepfchen sshd[29793]: Invalid user zelda1 from 212.24.175.173
Aug 28 15:56:24 zaepfchen sshd[29800]: Invalid user zelia1 from 212.24.175.173
Aug 28 15:56:24 zaepfchen sshd[29802]: Invalid user zena1 from 212.24.175.173
Aug 28 15:56:25 zaepfchen sshd[29804]: Invalid user zenia1 from 212.24.175.173
Aug 28 15:56:25 zaepfchen sshd[29818]: Invalid user zennia1 from 212.24.175.173
Aug 28 15:56:26 zaepfchen sshd[29820]: Invalid user zenobia1 from 212.24.175.173
Aug 28 15:56:26 zaepfchen sshd[29948]: Invalid user zina1 from 212.24.175.173
Aug 28 15:56:27 zaepfchen sshd[30124]: Invalid user zita1 from 212.24.175.173
Aug 28 15:56:27 zaepfchen sshd[30260]: Invalid user zoa1 from 212.24.175.173
Aug 28 15:56:28 zaepfchen sshd[7083]: Received signal 15; terminating.
Aug 28 15:56:28 zaepfchen sshd[30467]: Invalid user zoe1 from 212.24.175.173


Die aber wies scheint von einem Bot oder ähnlichen verübt wurde. Nun meine Frage ich hab Angst das jemand doch heimlich in meinen PC konnte und mir ein paar Programme komprimitiert hat. Hilft es was (ist eine Gentoo maschine) wenn ich das ganze System via emerge -e system world neu merge oder sollte ich wirklich alles via LiveCD usw. neu installieren?


Bin für jede Hilfe dankbar.

LG

Ist das ganz normale Hintergrundrauschen im Internet!
Wenn Du sichere Passwörter verwendet hast brauchst Du dir keine Gedanken machen.
Lege den sshd auf einen nicht standartport >10000, und schau dir mal fail2ban an.

Greeez Oli

Trag bei deinem dhcpserver/router die MAC-adresse von der Xbox mit einer statischen ip ein, damit sowas nicht nochmal passieren kann ;)

Danke erstmal für die Antworten. Aber glaubt ihr jemand hat sich bei mir eingeklinkt und vl. sogar war heruntergeladen? (glaub ich weniger wegen den upload, aber kann man ja auch manipulieren) Das mit der MAC Adresse werd ich machen und fail2ban werd ich mir auch mal anschauen. Bin gerade dabei zur Sicherheit mein System neu zu mergen, kann ja sein das was komprimitiert ist. Weil der Rechner ja auch 5 Tage ohne Firewall durchgerannt ist. Zu dem log Eintrag hab ich mal via whois die abuse Adresse des Providers der IP herausgefunden und ihm das auch gemeldet.

Mal schauen was passiert. :)

LG und schönen Abend noch

Tranalogic

Hi,

also dein re-emerge kannste dir mal ganz getrost sparen.
Solltest du wirklich begründeten Verdacht haben, hilft eine komplette Deinstallation und Neuinstallation mit "sicheren" Medien.

Gruß, Da.Bull


Danke erstmal für die Antworten. Aber glaubt ihr jemand hat sich bei mir eingeklinkt und vl. sogar war heruntergeladen? (glaub ich weniger wegen den upload, aber kann man ja auch manipulieren) Das mit der MAC Adresse werd ich machen und fail2ban werd ich mir auch mal anschauen. Bin gerade dabei zur Sicherheit mein System neu zu mergen, kann ja sein das was komprimitiert ist. Weil der Rechner ja auch 5 Tage ohne Firewall durchgerannt ist. Zu dem log Eintrag hab ich mal via whois die abuse Adresse des Providers der IP herausgefunden und ihm das auch gemeldet.

Mal schauen was passiert. :)

LG und schönen Abend noch

Tranalogic

Naja was könnte man verändern ausser die tools und vl. die permissions? Schätz sonst nichts :)

Naja was könnte man verändern ausser die tools und vl. die permissions? Schätz sonst nichts :)
Hab ich doch bereits erwähnt wenn du sshd auf einen nicht Standartport lauschen lässt wird kein Bot darauf kommen auf solch einen Port einen BruteForce zu fahren!

Hab ich doch bereits erwähnt wenn du sshd auf einen nicht Standartport lauschen lässt wird kein Bot darauf kommen auf solch einen Port einen BruteForce zu fahren!

Hab ich auch schon sofort nachdem ichs gelesen hab geändert.

Was desweiteren empfehlenswert ist den root login zu unterbinden!
Siehe http://www.pro-linux.de/work/rootserver/teil2.html für weitere Tips.

Dann werd ich mich mal mit der Materie beschäftigen. Besten Dank für den Link.