PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Angreifer Abwehren



Duke
03.11.08, 20:08
Irgendwelche Boots versuchen meinen Server zu knacken und einen SSH Account zu bekommen kann ich was sinnvolles machen ? ... Ip Sperren bringt ja nicht da die EH Wechseln...

reverse mapping checking getaddrinfo for ip55.superiormediatechnologies.com [66.175.118.55] failed - POSSIBLE BREAK-IN ATTEMPT!
sshd[24332]: Invalid user www from 66.175.118.55
....
reverse mapping checking getaddrinfo for 201-048-179-137.static.ctbc.com.br [201.48.179.137] failed - POSSIBLE BREAK-IN ATTEMPT!
....

Und per Http:

[Sat Nov 01 10:38:17 2008] [error] [client 77.184.74.221] File does not exist: /srv/www/vhosts/default/htdocs/sqlweb
[Sat Nov 01 10:38:17 2008] [error] [client 77.184.74.221] File does not exist: /srv/www/vhosts/default/htdocs/websql
[Sat Nov 01 10:38:18 2008] [error] [client 77.184.74.221] File does not exist: /srv/www/vhosts/default/htdocs/webdb
[Sat Nov 01 10:38:18 2008] [error] [client 77.184.74.221] File does not exist: /srv/www/vhosts/default/htdocs/mysqladmin
[Sat Nov 01 10:38:18 2008] [error] [client 77.184.74.221] File does not exist: /srv/www/vhosts/default/htdocs/mysql-admin
[Sat Nov 01 10:38:18 2008] [error] [client 77.184.74.221] File does not exist: /srv/www/vhosts/default/htdocs/phpmyadmin2
[Sat Nov 01 10:38:18 2008] [error] [client 77.184.74.221] File does not exist: /srv/www/vhosts/default/htdocs/php-my-admin
[Sat Nov 01 10:38:18 2008] [error] [client 77.184.74.221] File does not exist: /srv/www/vhosts/default/htdocs/phpMyAdmin-2.2.3
[Sat Nov 01 10:38:19 2008] [error] [client 77.184.74.221] File does not exist: /srv/www/vhosts/default/htdocs/phpMyAdmin-2.2.6
[Sat Nov 01 10:38:19 2008] [error] [client 77.184.74.221] File does not exist: /srv/www/vhosts/default/htdocs/phpMyAdmin-2.5.1
[Sat Nov 01 10:38:19 2008] [error] [client 77.184.74.221] File does not exist: /srv/www/vhosts/default/htdocs/phpMyAdmin-2.5.4
[Sat Nov 01 10:38:19 2008] [error] [client 77.184.74.221] File does not exist: /srv/www/vhosts/default/htdocs/phpMyAdmin-2.5.6
[Sat Nov 01 10:38:19 2008] [error] [client 77.184.74.221] File does not exist: /srv/www/vhosts/default/htdocs/phpMyAdmin-2.6.0
[Sat Nov 01 10:38:19 2008] [error] [client 77.184.74.221] File does not exist: /srv/www/vhosts/default/htdocs/phpMyAdmin-2.6.0-pl1
[Sat Nov 01 10:38:20 2008] [error] [client 77.184.74.221] File does not exist: /srv/www/vhosts/default/htdocs/phpMyAdmin-2.6.2-rc1
[Sat Nov 01 10:38:20 2008] [error] [client 77.184.74.221] File does not exist: /srv/www/vhosts/default/htdocs/phpMyAdmin-2.6.3
[Sat Nov 01 10:38:20 2008] [error] [client 77.184.74.221] File does not exist: /srv/www/vhosts/default/htdocs/phpMyAdmin-2.6.3-pl1

Rain_maker
03.11.08, 20:13
Irgendwelche Boots versuchen meinen Server zu knacken und einen SSH Account zu bekommen kann ich was sinnvolles machen ?

Auf Pubkey-Authentifizierung umschalten und zurücklehnen.

HirschHeisseIch
03.11.08, 20:15
Und für den Webserver vielleicht fail2ban (ginge auch für ssh).

Duke
03.11.08, 20:16
Bei der Pubkey geschichte hat mein lokaler SSH Client dann auch ne Key Datei ohne die man sonst nicht rein kommt ?

P17
03.11.08, 20:26
Dein User hat den Key. Bzw. zwei. Einen Public Key und einen Private Key. Den Public Key braucht der Server zur Authentifizierung.
SSH auf sicher (http://p17-linuxzone.de/serendipity/index.php?/archives/3-SSH-auf-Sicher.html)

Duke
03.11.08, 20:29
Danke für den Link werde ich durcharbeiten

fubar
03.11.08, 22:07
@P17
Link geht nicht. Kannst Du vllt. die original Quelle angeben?

regards

P17
03.11.08, 22:14
@fubar

Link geht nicht.
Da scheinst du der einzige zu sein.


Kannst Du vllt. die original Quelle angeben?
Das ist das Original.

Vielleicht geht bei dir die Kopie:
http://www.linux-forum.de/wiki/index.php/SSH_auf_sicher

ThE_FiSh
03.11.08, 22:22
habs in nem andren post schonmAL geschrieben, aber seitdem ich den knockd installiert hab (erstmal testweise auf nem kleinen webserver) is alles ruhig - soll heißen ich hab keine bots und oder kiddies mehr die meinen ssh login haben wollen :)

ich verlink das nochmal falls du´s auch mal testen willst http://www.portknocking.org/

fubar
03.11.08, 23:15
@fubar
Zitat:
Link geht nicht.
Da scheinst du der einzige zu sein.


yibbi, geht.

Wenn ich Deinen 1ten Link aufrufe, greife ich auf folgende Adresse zu:
http://p17-linuxzone.de/serendipity/index.php?/archives/3-SSH-auf-Sicher.html

Dank' Dir

HirschHeisseIch
04.11.08, 00:26
... Das ist auch genau die Adresse, auf die der Link zeigt...

Roger Wilco
04.11.08, 23:13
http://www.rootforum.de/forum/viewtopic.php?f=77&t=49621