Anzeige:
Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 15 von 31

Thema: Mein Server wird angegriffen (Dictionary-Attacks)

  1. 02.07.05, 21:42 #1
    lynix
    lynix ist offline
    Arch-Jünger
    Registriert seit
    Mar 2003
    Ort
    Karlsruhe
    Beiträge
    244

    Unhappy Mein Server wird angegriffen (Dictionary-Attacks)

    Hi@all!

    Wie bereits im Titel erwähnt habe ich den begründeten Verdacht, dass mein (v)Server angegriffen wird. Gestoßen bin darauf, als ich zum Spaß mal die Logs in /var/log durchgeschaut hab.

    Hier mal mein Fund:

    Code:
    [root@vs210054 log]# cat secure | grep Failed
Jun 29 11:30:46 vs210054 sshd[28290]: Failed password for root from 66.84.89.55 port 39422 ssh2
Jun 29 11:45:31 vs210054 sshd[29505]: Failed password for root from 66.84.89.55 port 58697 ssh2
Jun 29 18:01:32 vs210054 sshd[22694]: Failed password for root from 212.12.131.2 port 33141 ssh2
Jun 30 00:54:21 vs210054 sshd[18240]: Failed password for illegal user test from 212.248.53.160 port 45917 ssh2
Jun 30 00:54:27 vs210054 sshd[27460]: Failed password for illegal user guest from 212.248.53.160 port 46151 ssh2
Jun 30 00:54:34 vs210054 sshd[1728]: Failed password for illegal user admin from 212.248.53.160 port 46330 ssh2
Jun 30 00:54:38 vs210054 sshd[7876]: Failed password for illegal user admin from 212.248.53.160 port 46641 ssh2
Jun 30 00:54:42 vs210054 sshd[11520]: Failed password for illegal user user from 212.248.53.160 port 46907 ssh2
Jun 30 00:54:47 vs210054 sshd[14784]: Failed password for root from 212.248.53.160 port 47206 ssh2
Jun 30 00:54:52 vs210054 sshd[18504]: Failed password for root from 212.248.53.160 port 47537 ssh2
Jun 30 00:54:56 vs210054 sshd[21633]: Failed password for root from 212.248.53.160 port 47863 ssh2
Jun 30 00:54:59 vs210054 sshd[24227]: Failed password for illegal user test from 212.248.53.160 port 48121 ssh2
Jun 30 03:50:20 vs210054 sshd[22273]: Failed password for illegal user aaron from 211.21.62.108 port 38334 ssh2
Jun 30 03:50:27 vs210054 sshd[29728]: Failed password for illegal user adam from 211.21.62.108 port 38494 ssh2
Jun 30 03:50:35 vs210054 sshd[4929]: Failed password for illegal user admin from 211.21.62.108 port 38661 ssh2
Jun 30 03:50:42 vs210054 sshd[10787]: Failed password for illegal user admin from 211.21.62.108 port 38799 ssh2
Jun 30 03:50:48 vs210054 sshd[17026]: Failed password for illegal user admin from 211.21.62.108 port 38970 ssh2
Jun 30 03:50:55 vs210054 sshd[20992]: Failed password for illegal user admin from 211.21.62.108 port 39076 ssh2
Jun 30 03:51:01 vs210054 sshd[25763]: Failed password for illegal user admin from 211.21.62.108 port 39226 ssh2
Jun 30 03:51:08 vs210054 sshd[32514]: Failed password for illegal user admin from 211.21.62.108 port 39351 ssh2
Jun 30 03:51:14 vs210054 sshd[6245]: Failed password for illegal user admin from 211.21.62.108 port 39493 ssh2
Jun 30 03:51:22 vs210054 sshd[11233]: Failed password for illegal user adrian from 211.21.62.108 port 39619 ssh2
Jun 30 03:51:29 vs210054 sshd[17760]: Failed password for illegal user alan from 211.21.62.108 port 39807 ssh2
Jun 30 03:51:35 vs210054 sshd[21282]: Failed password for illegal user alex from 211.21.62.108 port 39951 ssh2
Jun 30 03:51:43 vs210054 sshd[24001]: Failed password for illegal user andrew from 211.21.62.108 port 40079 ssh2
Jun 30 03:51:52 vs210054 sshd[29505]: Failed password for illegal user angel from 211.21.62.108 port 40262 ssh2
Jun 30 03:51:59 vs210054 sshd[31842]: Failed password for illegal user anna from 211.21.62.108 port 40442 ssh2
Jun 30 03:52:06 vs210054 sshd[2180]: Failed password for apache from 211.21.62.108 port 40571 ssh2
Jun 30 03:52:11 vs210054 sshd[9891]: Failed password for illegal user aron from 211.21.62.108 port 40745 ssh2
Jun 30 03:52:19 vs210054 sshd[13026]: Failed password for illegal user backup from 211.21.62.108 port 40864 ssh2
Jun 30 10:09:25 vs210054 sshd[22147]: Failed password for root from 206.169.23.15 port 3402 ssh2
Jun 30 10:09:33 vs210054 sshd[30852]: Failed password for illegal user fluffy from 206.169.23.15 port 3664 ssh2
Jun 30 10:09:40 vs210054 sshd[8706]: Failed password for illegal user admin from 206.169.23.15 port 3967 ssh2
Jun 30 10:09:47 vs210054 sshd[17574]: Failed password for illegal user test from 206.169.23.15 port 4221 ssh2
Jun 30 10:09:52 vs210054 sshd[26080]: Failed password for illegal user guest from 206.169.23.15 port 4495 ssh2
Jun 30 10:09:58 vs210054 sshd[776]: Failed password for illegal user webmaster from 206.169.23.15 port 4684 ssh2
Jun 30 10:10:04 vs210054 sshd[9090]: Failed password for mysql from 206.169.23.15 port 4915 ssh2
Jun 30 10:10:09 vs210054 sshd[22240]: Failed password for illegal user oracle from 206.169.23.15 port 1155 ssh2
Jun 30 10:10:16 vs210054 sshd[28803]: Failed password for illegal user library from 206.169.23.15 port 1355 ssh2
Jun 30 10:10:23 vs210054 sshd[6021]: Failed password for illegal user info from 206.169.23.15 port 1567 ssh2
Jun 30 10:10:33 vs210054 sshd[12997]: Failed password for illegal user shell from 206.169.23.15 port 1767 ssh2
Jun 30 10:10:40 vs210054 sshd[25410]: Failed password for illegal user linux from 206.169.23.15 port 2131 ssh2
Jun 30 10:10:52 vs210054 sshd[3554]: Failed password for illegal user unix from 206.169.23.15 port 2411 ssh2
Jul  1 16:13:38 vs210054 sshd[30561]: Failed password for illegal user mark from 211.125.74.155 port 33063 ssh2
Jul  1 16:13:43 vs210054 sshd[992]: Failed password for illegal user andres from 211.125.74.155 port 33138 ssh2
Jul  1 16:13:49 vs210054 sshd[4132]: Failed password for illegal user alex from 211.125.74.155 port 33220 ssh2
Jul  1 16:13:54 vs210054 sshd[7360]: Failed password for illegal user mario from 211.125.74.155 port 33307 ssh2
Jul  1 16:13:59 vs210054 sshd[11233]: Failed password for illegal user backup from 211.125.74.155 port 33383 ssh2
Jul  1 16:14:04 vs210054 sshd[13984]: Failed password for illegal user java from 211.125.74.155 port 33464 ssh2
Jul  1 16:14:09 vs210054 sshd[20129]: Failed password for illegal user robert from 211.125.74.155 port 33538 ssh2
Jul  1 16:14:15 vs210054 sshd[24162]: Failed password for illegal user sarah from 211.125.74.155 port 33614 ssh2
Jul  1 16:14:20 vs210054 sshd[28450]: Failed password for illegal user victor from 211.125.74.155 port 33691 ssh2
Jul  1 16:14:25 vs210054 sshd[32196]: Failed password for illegal user vlad from 211.125.74.155 port 33771 ssh2
Jul  1 16:14:31 vs210054 sshd[3715]: Failed password for illegal user info from 211.125.74.155 port 33856 ssh2
Jul  1 16:14:36 vs210054 sshd[7430]: Failed password for illegal user test from 211.125.74.155 port 33938 ssh2
Jul  1 16:14:41 vs210054 sshd[11296]: Failed password for illegal user eric from 211.125.74.155 port 34043 ssh2
Jul  1 16:14:46 vs210054 sshd[15266]: Failed password for illegal user demo from 211.125.74.155 port 34128 ssh2
Jul  1 16:14:51 vs210054 sshd[19297]: Failed password for illegal user player from 211.125.74.155 port 34209 ssh2
Jul  1 16:14:57 vs210054 sshd[23458]: Failed password for illegal user home from 211.125.74.155 port 34299 ssh2
Jul  1 16:15:02 vs210054 sshd[27491]: Failed password for illegal user postgres from 211.125.74.155 port 34387 ssh2
Jul  1 16:15:12 vs210054 sshd[3365]: Failed password for illegal user thomas from 211.125.74.155 port 34500 ssh2
Jul  1 16:15:18 vs210054 sshd[30466]: Failed password for illegal user oracle from 211.125.74.155 port 34642 ssh2
Jul  1 16:15:24 vs210054 sshd[4003]: Failed password for illegal user student from 211.125.74.155 port 34759 ssh2
Jul  1 16:15:30 vs210054 sshd[10273]: Failed password for illegal user user from UNKNOWN port 34858 ssh2
Jul  1 16:15:35 vs210054 sshd[15777]: Failed password for illegal user library from 211.125.74.155 port 34951 ssh2
Jul  1 16:15:41 vs210054 sshd[21699]: Failed password for illegal user guest from 211.125.74.155 port 35043 ssh2
Jul  1 16:15:47 vs210054 sshd[26564]: Failed password for illegal user ghost from 211.125.74.155 port 35129 ssh2
Jul  1 16:15:52 vs210054 sshd[31816]: Failed password for illegal user peter from 211.125.74.155 port 35231 ssh2
Jul  1 16:15:58 vs210054 sshd[5538]: Failed password for illegal user martin from 211.125.74.155 port 35326 ssh2
Jul  1 16:16:03 vs210054 sshd[10369]: Failed password for illegal user cgi from 211.125.74.155 port 35419 ssh2
Jul  1 16:16:08 vs210054 sshd[15618]: Failed password for illegal user chris from 211.125.74.155 port 35497 ssh2
Jul  1 16:16:16 vs210054 sshd[21504]: Failed password for illegal user gary from 211.125.74.155 port 35574 ssh2
Jul  1 16:16:22 vs210054 sshd[28963]: Failed password for illegal user albert from 211.125.74.155 port 35684 ssh2
Jul  1 16:16:27 vs210054 sshd[2945]: Failed password for illegal user paul from 211.125.74.155 port 35802 ssh2
Jul  1 16:16:33 vs210054 sshd[7360]: Failed password for illegal user mickey from 211.125.74.155 port 35894 ssh2
Jul  1 16:16:38 vs210054 sshd[12933]: Failed password for illegal user richard from 211.125.74.155 port 36000 ssh2
Jul  1 16:16:44 vs210054 sshd[17540]: Failed password for illegal user jack from 211.125.74.155 port 36094 ssh2
Jul  1 16:16:49 vs210054 sshd[22754]: Failed password for illegal user grace from 211.125.74.155 port 36188 ssh2
Jul  1 16:16:55 vs210054 sshd[27042]: Failed password for illegal user temp from 211.125.74.155 port 36278 ssh2
Jul  1 16:17:00 vs210054 sshd[32196]: Failed password for illegal user dummy from 211.125.74.155 port 36389 ssh2
Jul  1 16:17:06 vs210054 sshd[6277]: Failed password for illegal user spam from 211.125.74.155 port 36480 ssh2
Jul  1 16:17:12 vs210054 sshd[11748]: Failed password for illegal user httpd from 211.125.74.155 port 36563 ssh2
Jul  1 16:17:17 vs210054 sshd[19330]: Failed password for illegal user brenda from 211.125.74.155 port 36673 ssh2
Jul  1 16:17:23 vs210054 sshd[25984]: Failed password for illegal user tom from 211.125.74.155 port 36763 ssh2
Jul  1 16:17:29 vs210054 sshd[30980]: Failed password for illegal user max from 211.125.74.155 port 36866 ssh2
Jul  1 16:17:35 vs210054 sshd[4101]: Failed password for illegal user testuser from 211.125.74.155 port 36993 ssh2
Jul  1 16:17:40 vs210054 sshd[8800]: Failed password for illegal user anonymous from 211.125.74.155 port 37094 ssh2
Jul  1 16:17:46 vs210054 sshd[14182]: Failed password for illegal user sales from 211.125.74.155 port 37191 ssh2
Jul  1 16:17:51 vs210054 sshd[19170]: Failed password for illegal user eddie from 211.125.74.155 port 37283 ssh2
Jul  1 16:17:56 vs210054 sshd[23939]: Failed password for illegal user fox from 211.125.74.155 port 37376 ssh2
Jul  1 16:18:02 vs210054 sshd[28256]: Failed password for illegal user nico from 211.125.74.155 port 37467 ssh2
Jul  1 16:18:08 vs210054 sshd[2759]: Failed password for illegal user bob from 211.125.74.155 port 37561 ssh2
Jul  1 16:18:13 vs210054 sshd[9952]: Failed password for illegal user jason from 211.125.74.155 port 37677 ssh2
Jul  1 16:18:18 vs210054 sshd[14369]: Failed password for illegal user william from 211.125.74.155 port 37766 ssh2
Jul  1 16:18:23 vs210054 sshd[18821]: Failed password for illegal user owner from 211.125.74.155 port 37852 ssh2
Jul  1 16:18:28 vs210054 sshd[22918]: Failed password for illegal user david from 211.125.74.155 port 37946 ssh2
Jul  1 16:18:33 vs210054 sshd[27491]: Failed password for illegal user andrew from 211.125.74.155 port 38040 ssh2
Jul  1 16:18:38 vs210054 sshd[31817]: Failed password for illegal user jose from 211.125.74.155 port 38130 ssh2
Jul  1 16:18:44 vs210054 sshd[3333]: Failed password for illegal user tony from 211.125.74.155 port 38221 ssh2
Jul  1 16:18:49 vs210054 sshd[8419]: Failed password for illegal user shop from 211.125.74.155 port 38319 ssh2
Jul  1 16:18:54 vs210054 sshd[13120]: Failed password for illegal user olivier from 211.125.74.155 port 38408 ssh2
Jul  1 16:18:59 vs210054 sshd[18402]: Failed password for illegal user linux from 211.125.74.155 port 38508 ssh2
Jul  1 16:19:04 vs210054 sshd[22918]: Failed password for illegal user garcia from 211.125.74.155 port 38598 ssh2
Jul  1 16:19:11 vs210054 sshd[29960]: Failed password for illegal user mike from 211.125.74.155 port 38692 ssh2
Jul  1 16:19:18 vs210054 sshd[5152]: Failed password for mysql from 211.125.74.155 port 38818 ssh2
Jul  1 16:19:23 vs210054 sshd[10946]: Failed password for illegal user matt from 211.125.74.155 port 38923 ssh2
Jul  1 16:19:29 vs210054 sshd[15107]: Failed password for illegal user frank from 211.125.74.155 port 39027 ssh2
Jul  1 16:19:35 vs210054 sshd[19687]: Failed password for illegal user pierre from 211.125.74.155 port 39132 ssh2
Jul  1 16:19:40 vs210054 sshd[23876]: Failed password for illegal user ivan from 211.125.74.155 port 39234 ssh2
Jul  1 16:19:46 vs210054 sshd[28004]: Failed password for illegal user andrea from 211.125.74.155 port 39325 ssh2
Jul  1 16:19:51 vs210054 sshd[32132]: Failed password for illegal user psycho from 211.125.74.155 port 39431 ssh2
Jul  1 16:19:56 vs210054 sshd[4163]: Failed password for illegal user enrique from 211.125.74.155 port 39520 ssh2
Jul  1 16:20:01 vs210054 sshd[8195]: Failed password for illegal user miguel from 211.125.74.155 port 39614 ssh2
Jul  1 16:20:12 vs210054 sshd[18657]: Failed password for illegal user ana from 211.125.74.155 port 39711 ssh2
Jul  2 03:08:21 vs210054 sshd[19555]: Failed password for illegal user admin from 65.18.144.51 port 4497 ssh2
Jul  2 03:08:29 vs210054 sshd[24707]: Failed password for illegal user admin from 65.18.144.51 port 2185 ssh2
Jul  2 03:08:34 vs210054 sshd[27942]: Failed password for illegal user admin from 65.18.144.51 port 3062 ssh2
Jul  2 03:08:38 vs210054 sshd[31874]: Failed password for illegal user ftpuser from 65.18.144.51 port 4030 ssh2
Jul  2 03:08:47 vs210054 sshd[7235]: Failed password for illegal user ftpuser from 65.18.144.51 port 2100 ssh2
Jul  2 03:08:56 vs210054 sshd[15907]: Failed password for illegal user ftpuser from 65.18.144.51 port 4238 ssh2
Jul  2 03:09:01 vs210054 sshd[20708]: Failed password for illegal user ftpuser from 65.18.144.51 port 1403 ssh2
Jul  2 03:09:06 vs210054 sshd[29281]: Failed password for illegal user ftpuser from 65.18.144.51 port 2964 ssh2
Jul  2 03:09:15 vs210054 sshd[10211]: Failed password for illegal user ftpuser from 65.18.144.51 port 4036 ssh2
Jul  2 03:09:19 vs210054 sshd[24359]: Failed password for illegal user ftpuser from 65.18.144.51 port 1767 ssh2
Jul  2 03:09:24 vs210054 sshd[31817]: Failed password for illegal user mailtest from 65.18.144.51 port 3027 ssh2
Jul  2 03:09:30 vs210054 sshd[4800]: Failed password for illegal user mailtest from 65.18.144.51 port 3651 ssh2
Jul  2 03:09:37 vs210054 sshd[14242]: Failed password for illegal user mailtest from 65.18.144.51 port 1135 ssh2
Jul  2 03:09:42 vs210054 sshd[23428]: Failed password for illegal user mailtest from 65.18.144.51 port 2980 ssh2
Jul  2 03:09:46 vs210054 sshd[31744]: Failed password for illegal user mailtest from 65.18.144.51 port 4350 ssh2
Jul  2 03:09:51 vs210054 sshd[7044]: Failed password for illegal user mailtest from 65.18.144.51 port 1655 ssh2
Jul  2 03:09:54 vs210054 sshd[11649]: Failed password for illegal user testuser from 65.18.144.51 port 2360 ssh2
Jul  2 03:09:58 vs210054 sshd[14598]: Failed password for illegal user testuser from 65.18.144.51 port 3048 ssh2
Jul  2 03:10:05 vs210054 sshd[20097]: Failed password for illegal user testuser from 65.18.144.51 port 4065 ssh2
Jul  2 03:10:10 vs210054 sshd[2433]: Failed password for illegal user testuser from 65.18.144.51 port 1753 ssh2
Jul  2 03:10:15 vs210054 sshd[8706]: Failed password for illegal user testuser from 65.18.144.51 port 3074 ssh2
Jul  2 03:10:23 vs210054 sshd[15265]: Failed password for illegal user testuser from 65.18.144.51 port 4320 ssh2
Jul  2 03:10:28 vs210054 sshd[20640]: Failed password for illegal user sales from 65.18.144.51 port 2293 ssh2
Jul  2 03:10:33 vs210054 sshd[26149]: Failed password for illegal user sales from 65.18.144.51 port 3900 ssh2
Jul  2 03:10:37 vs210054 sshd[31648]: Failed password for illegal user sales from 65.18.144.51 port 4938 ssh2
Jul  2 03:10:41 vs210054 sshd[3041]: Failed password for illegal user sales from 65.18.144.51 port 1807 ssh2
Jul  2 03:10:45 vs210054 sshd[7173]: Failed password for illegal user sales from 65.18.144.51 port 2890 ssh2
Jul  2 03:10:49 vs210054 sshd[11457]: Failed password for illegal user sales from 65.18.144.51 port 4016 ssh2
Jul  2 03:10:53 vs210054 sshd[15334]: Failed password for illegal user sales from 65.18.144.51 port 1200 ssh2
Jul  2 03:10:56 vs210054 sshd[18852]: Failed password for illegal user postgres from 65.18.144.51 port 2319 ssh2
Jul  2 03:11:00 vs210054 sshd[21986]: Failed password for illegal user postgres from 65.18.144.51 port 3349 ssh2
Jul  2 03:11:04 vs210054 sshd[25668]: Failed password for illegal user postgres from 65.18.144.51 port 4372 ssh2
Jul  2 03:11:09 vs210054 sshd[31494]: Failed password for illegal user postgres from 65.18.144.51 port 1567 ssh2
Jul  2 03:11:14 vs210054 sshd[5250]: Failed password for illegal user postgres from 65.18.144.51 port 2899 ssh2
Jul  2 03:11:18 vs210054 sshd[17187]: Failed password for illegal user postgres from 65.18.144.51 port 4208 ssh2
Jul  2 03:11:23 vs210054 sshd[22254]: Failed password for illegal user postfix from 65.18.144.51 port 1257 ssh2
Jul  2 03:11:27 vs210054 sshd[28611]: Failed password for illegal user postfix from 65.18.144.51 port 2856 ssh2
Jul  2 03:11:31 vs210054 sshd[4196]: Failed password for illegal user postfix from 65.18.144.51 port 4017 ssh2
Jul  2 03:11:35 vs210054 sshd[8706]: Failed password for illegal user postfix from 65.18.144.51 port 1221 ssh2
Jul  2 03:11:39 vs210054 sshd[12000]: Failed password for illegal user postfix from 65.18.144.51 port 2222 ssh2
Jul  2 03:11:43 vs210054 sshd[16897]: Failed password for illegal user postfix from 65.18.144.51 port 3407 ssh2
Jul  2 03:11:47 vs210054 sshd[20800]: Failed password for adm from 65.18.144.51 port 4375 ssh2
Jul  2 03:11:51 vs210054 sshd[23330]: Failed password for adm from 65.18.144.51 port 1553 ssh2
Jul  2 03:11:55 vs210054 sshd[27942]: Failed password for adm from 65.18.144.51 port 2792 ssh2
Jul  2 03:11:59 vs210054 sshd[32385]: Failed password for adm from 65.18.144.51 port 4001 ssh2
Jul  2 03:12:02 vs210054 sshd[3041]: Failed password for adm from 65.18.144.51 port 4969 ssh2
Jul  2 03:12:07 vs210054 sshd[8450]: Failed password for adm from 65.18.144.51 port 2065 ssh2
Jul  2 03:12:11 vs210054 sshd[13732]: Failed password for adm from 65.18.144.51 port 3338 ssh2
Jul  2 03:12:15 vs210054 sshd[18560]: Failed password for adm from 65.18.144.51 port 4677 ssh2
Jul  2 03:12:19 vs210054 sshd[22247]: Failed password for illegal user student from 65.18.144.51 port 1837 ssh2
Jul  2 03:12:23 vs210054 sshd[24905]: Failed password for illegal user student from 65.18.144.51 port 2938 ssh2
Jul  2 03:12:27 vs210054 sshd[29509]: Failed password for illegal user student from 65.18.144.51 port 4131 ssh2
Jul  2 03:12:30 vs210054 sshd[358]: Failed password for illegal user student from 65.18.144.51 port 1115 ssh2
Jul  2 03:12:34 vs210054 sshd[3715]: Failed password for illegal user student from 65.18.144.51 port 2206 ssh2
Jul  2 03:12:37 vs210054 sshd[6950]: Failed password for illegal user student from 65.18.144.51 port 3198 ssh2
Jul  2 03:12:41 vs210054 sshd[10112]: Failed password for illegal user service from 65.18.144.51 port 4092 ssh2
Jul  2 03:12:45 vs210054 sshd[13376]: Failed password for illegal user service from 65.18.144.51 port 1182 ssh2
Jul  2 03:12:49 vs210054 sshd[16644]: Failed password for illegal user service from 65.18.144.51 port 2214 ssh2
Jul  2 03:12:52 vs210054 sshd[20417]: Failed password for illegal user service from 65.18.144.51 port 3341 ssh2
Jul  2 03:12:56 vs210054 sshd[22534]: Failed password for illegal user service from 65.18.144.51 port 4256 ssh2
Jul  2 03:13:00 vs210054 sshd[26149]: Failed password for illegal user service from 65.18.144.51 port 1392 ssh2
Jul  2 03:13:04 vs210054 sshd[31140]: Failed password for illegal user test from 65.18.144.51 port 2558 ssh2
Jul  2 03:13:10 vs210054 sshd[4064]: Failed password for illegal user test from 65.18.144.51 port 3624 ssh2
Jul  2 03:13:13 vs210054 sshd[9633]: Failed password for illegal user test from 65.18.144.51 port 1238 ssh2
Jul  2 03:13:17 vs210054 sshd[13152]: Failed password for illegal user test from 65.18.144.51 port 2282 ssh2
Jul  2 03:13:21 vs210054 sshd[16515]: Failed password for illegal user test from 65.18.144.51 port 3340 ssh2
Jul  2 03:13:25 vs210054 sshd[20356]: Failed password for illegal user user from 65.18.144.51 port 4550 ssh2
Jul  2 03:13:31 vs210054 sshd[23428]: Failed password for illegal user user from 65.18.144.51 port 1809 ssh2
Jul  2 03:13:35 vs210054 sshd[28516]: Failed password for illegal user user from 65.18.144.51 port 3443 ssh2
Jul  2 03:13:39 vs210054 sshd[31521]: Failed password for illegal user user from 65.18.144.51 port 4316 ssh2
Jul  2 03:13:42 vs210054 sshd[3524]: Failed password for illegal user user from 65.18.144.51 port 1597 ssh2
Jul  2 03:13:46 vs210054 sshd[6628]: Failed password for illegal user user from 65.18.144.51 port 2585 ssh2
Jul  2 03:13:50 vs210054 sshd[9890]: Failed password for illegal user user from 65.18.144.51 port 3646 ssh2
Jul  2 03:13:54 vs210054 sshd[13667]: Failed password for illegal user guest from 65.18.144.51 port 4737 ssh2
Jul  2 03:13:57 vs210054 sshd[17348]: Failed password for illegal user guest from 65.18.144.51 port 1750 ssh2
Jul  2 03:14:01 vs210054 sshd[20672]: Failed password for illegal user guest from 65.18.144.51 port 2739 ssh2
Jul  2 03:14:06 vs210054 sshd[25250]: Failed password for illegal user guest from 65.18.144.51 port 3844 ssh2
Jul  2 03:14:10 vs210054 sshd[32354]: Failed password for illegal user guest from 65.18.144.51 port 1389 ssh2
Jul  2 03:14:13 vs210054 sshd[3433]: Failed password for illegal user guest from 65.18.144.51 port 2398 ssh2
Jul  2 03:14:17 vs210054 sshd[6950]: Failed password for illegal user guest from 65.18.144.51 port 3362 ssh2
Jul  2 03:14:21 vs210054 sshd[10562]: Failed password for mysql from 65.18.144.51 port 4347 ssh2
Jul  2 03:14:24 vs210054 sshd[14116]: Failed password for mysql from 65.18.144.51 port 1375 ssh2
Jul  2 03:14:28 vs210054 sshd[17217]: Failed password for mysql from 65.18.144.51 port 2369 ssh2
Jul  2 03:14:31 vs210054 sshd[20608]: Failed password for mysql from 65.18.144.51 port 3393 ssh2
Jul  2 03:14:36 vs210054 sshd[23264]: Failed password for mysql from 65.18.144.51 port 4322 ssh2
Jul  2 03:14:40 vs210054 sshd[28006]: Failed password for mysql from 65.18.144.51 port 1758 ssh2
Jul  2 03:14:43 vs210054 sshd[31488]: Failed password for mysql from 65.18.144.51 port 2798 ssh2
Jul  2 03:14:47 vs210054 sshd[2501]: Failed password for ftp from 65.18.144.51 port 3863 ssh2
Jul  2 03:14:52 vs210054 sshd[6177]: Failed password for ftp from 65.18.144.51 port 4982 ssh2
Jul  2 03:14:56 vs210054 sshd[10178]: Failed password for ftp from 65.18.144.51 port 1895 ssh2
Jul  2 03:14:59 vs210054 sshd[13732]: Failed password for ftp from 65.18.144.51 port 2978 ssh2
Jul  2 03:15:10 vs210054 sshd[18211]: Failed password for ftp from 65.18.144.51 port 4013 ssh2
    Für mich sieht das aus, wie eine Dictionary-Attack auf ssh.

    Ich würde nun gerne eure Meinung dazu hören. Außerdem würde ich gerne wissen, ob man irgendwo das Limit für fehlgeschlagene Logins pro IP global begrenzen kann, um solche Angreifer zB nach 2 Versuchen per IP zu bannen.

    Noch ein Wort zum System:
    - vServer von vserver.de
    - RedHat

    Gruß,

    lynix
    Geändert von lynix (02.07.05 um 21:45 Uhr)
    Zitieren Zitieren
  2. 02.07.05, 22:11 #2
    phoenix22
    phoenix22 ist offline
    Yogi-Tea Avatar von phoenix22
    Registriert seit
    Nov 2002
    Ort
    Bonn
    Beiträge
    652
    http://www.pettingers.org/code/SSHBlack.html

    Mehr über die Forensuche, das Thema wurde schon häufiger besprochen
    I can offer you an explanation, but I cannot offer you an understanding.
    Zitieren Zitieren
  3. 02.07.05, 22:42 #3
    poweradmin
    poweradmin ist offline
    Registrierter Benutzer
    Registriert seit
    Oct 2003
    Ort
    Berlin
    Beiträge
    143
    dann konfiguriere doch den sshd so, daß er auf einem anderen port läuft.
    Möglichst einen den du natürlich nicht brauchst.
    Firewall natürlich nicht vergessen mit zu ändern!
    Zitieren Zitieren
  4. 03.07.05, 07:18 #4
    LordDarkmage
    LordDarkmage ist offline
    Netzwerker
    Registriert seit
    Oct 2002
    Ort
    Grevenbroich
    Beiträge
    551
    Zudem alle Sicherheitsupdates machen, das System also auf dem neuesten Stand halten. Dienste abschalten, die du nicht wirklich brauchst. Könnte ja sein, dass er dein System demnächst systematisch nach Services abscannt und es dann halt da versucht.

    btw... Man müsste doch den Typen anzeigen können oder nicht?
    Kind: "Maaamaaaa! Wo ist denn der Waschlappen?"
    Schwiegermutter: "Zigaretten holen!"
    Zitieren Zitieren
  5. 03.07.05, 09:13 #5
    Tomek
    Tomek ist offline
    Registrierter Benutzer
    Registriert seit
    Aug 2004
    Ort
    Bad Wünnenberg
    Beiträge
    5.402
    Zitat Zitat von LordDarkmage
    btw... Man müsste doch den Typen anzeigen können oder nicht?
    Anzeigen wegen Login-Versuchen? Dazu kommt, dass es evtl. ein Wurm/Bot oder sonst was ist und derjenige überhaupt nichts davon weiss.
    Gruß,
    Tomek
    Zitieren Zitieren
  6. 03.07.05, 09:14 #6
    -hanky-
    -hanky- ist offline
    Registrierter Benutzer
    Registriert seit
    Apr 2003
    Ort
    Rheinland-Pfalz
    Beiträge
    2.494
    Es gibt im Netz auch diverse IPTables-Lösungen, welche eine IP nach drei fehlgeschlagenen Logins für eine Minute sperren. Einfach mal suchen.

    -hanky-
    85.214.20.141 - Anti-Zensur-DNS-Server (FoeBuD)
    "Die Nicht-Lösung eines nicht existierenden Problems" - Ron Gonggrijp über Wahlmaschinen
    Zitieren Zitieren
  7. 03.07.05, 09:26 #7
    steve-e
    steve-e ist offline
    Registrierter Benutzer Avatar von steve-e
    Registriert seit
    Mar 2004
    Beiträge
    605
    Iptables werden ihm bei einem vServer nicht viel helfen.
    Gibt aber auch Perl-Scripte, die das ganze übernehmen, hab nur leider gerade keins zur Hand.
    Zitieren Zitieren
  8. 03.07.05, 09:33 #8
    Tomek
    Tomek ist offline
    Registrierter Benutzer
    Registriert seit
    Aug 2004
    Ort
    Bad Wünnenberg
    Beiträge
    5.402
    Alternativ einfach den Standard-Port des SSH-Servers verändern. Ansonsten brauchst du dir keine Sorgen machen, wenn du ein komplexes und relativ sicheres Passwort hast und kannst somit die Login-Versuche ignorieren.
    Gruß,
    Tomek
    Zitieren Zitieren
  9. 03.07.05, 09:35 #9
    psy
    psy ist offline
    Moderator
    Registriert seit
    Jul 2002
    Ort
    Darmstadt
    Beiträge
    1.943
    psy eine Nachricht über ICQ schicken
    und auch bitte darauf achten, dass nur sshv2 akzeptiert wird...

    in sshd_config
    Code:
    Protocol 2
    Dear Lord, please grant me the ability to punch people in the face over standard TCP/IP.
    Zitieren Zitieren
  10. 03.07.05, 10:51 #10
    Krischi
    Krischi ist offline
    Klugsch***er Avatar von Krischi
    Registriert seit
    Feb 2004
    Ort
    Wo's blitzt und kracht
    Beiträge
    2.021
    Und vor allem:

    Logs ließt man nicht zum Spaß oder aus Langeweile o.ä.
    Die sollten schon regelmäßig ganz bewußt und gezielt kontrolliert werden.
    Dafür gibt's die ja.
    HDGDLFIUEBAED
    ---
    linuxforen.de bei Folding@home
    Zitieren Zitieren
  11. 03.07.05, 12:12 #11
    IT-Low
    IT-Low ist offline
    Dopingfreier Benutzer Avatar von IT-Low
    Registriert seit
    Apr 2004
    Ort
    ::1
    Beiträge
    1.096
    Zitat Zitat von Tomek
    Dazu kommt, dass es evtl. ein Wurm/Bot oder sonst was ist und derjenige überhaupt nichts davon weiss.
    Naja, bei der heutigen Rechtssprechung würde es mich nicht wundern, wenn ein Wurm für schuldig erklärt wird. Aber ich weiss, du meinst den Besitzer des kompromittierten Rechners. Der ist dann aber nicht ganz unschuldig, auch wenn er nichts davon weiss...
    Gruß IT-Low
    Zitieren Zitieren
  12. 03.07.05, 19:21 #12
    LordDarkmage
    LordDarkmage ist offline
    Netzwerker
    Registriert seit
    Oct 2002
    Ort
    Grevenbroich
    Beiträge
    551
    Zitat Zitat von Tomek
    Anzeigen wegen Login-Versuchen? Dazu kommt, dass es evtl. ein Wurm/Bot oder sonst was ist und derjenige überhaupt nichts davon weiss.
    Ja, wegen Login-Versuchen. Das ist Hausfriedensbruch und gilt auch für Computer/Serveranlagen. Du darfst ja auch nicht deine Schlüssel in fremden Schlössern ausprobieren. Das ist auch verboten. Und wenn plötzlich einer passen sollte, dann ist das trotzdem Einbruch.

    Mein Server im Datacenter ist auch auf diese Weise "geknackt" worden. Damals war ich ncoh so dumm und hatte ein recht simples PW gehabt. Trotzdem hab ich Anzeige erstattet und bin damit auch durchgekommen.

    Und was den Bot angeht. Das ist unerheblich. Demnach könnte sich jeder vermeintliche Anfänger "versehentlich" einen Bot/Wurm eingefangen haben. Unwissenheit schützt vor Strafe nicht.
    Kind: "Maaamaaaa! Wo ist denn der Waschlappen?"
    Schwiegermutter: "Zigaretten holen!"
    Zitieren Zitieren
  13. 03.07.05, 22:06 #13
    phoenix22
    phoenix22 ist offline
    Yogi-Tea Avatar von phoenix22
    Registriert seit
    Nov 2002
    Ort
    Bonn
    Beiträge
    652
    Zitat Zitat von LordDarkmage
    Ja, wegen Login-Versuchen. Das ist Hausfriedensbruch und gilt auch für Computer/Serveranlagen. Du darfst ja auch nicht deine Schlüssel in fremden Schlössern ausprobieren. Das ist auch verboten. Und wenn plötzlich einer passen sollte, dann ist das trotzdem Einbruch.
    Eh was? Das hat rein gar nix mit Hausfriedensbruch im Sinne von § 123 StGB zu tun, sondern je nachdem z.B. Computersabotage i.S. § 303b StGB und Ausspähen von Daten § 202a StGB.

    Bitte bitte bitte, nicht immer irgendwelche Sachen in die Welt setzen

    Unwissenheit schützt vor Strafe nicht.
    Wieder falsch, wer kein Wissen hat, hat auch keinen Vorsatz, hat also höchstens fahrlässig gehandelt.
    I can offer you an explanation, but I cannot offer you an understanding.
    Zitieren Zitieren
  14. 03.07.05, 23:06 #14
    smoon
    smoon ist offline
    Registrierter Benutzer Avatar von smoon
    Registriert seit
    Sep 2004
    Beiträge
    379
    Zitat Zitat von lynix
    Hi@all!

    Wie bereits im Titel erwähnt habe ich den begründeten Verdacht, dass mein (v)Server angegriffen wird. Gestoßen bin darauf, als ich zum Spaß mal die Logs in /var/log durchgeschaut hab.

    (...)

    Für mich sieht das aus, wie eine Dictionary-Attack auf ssh.

    Ich würde nun gerne eure Meinung dazu hören. Außerdem würde ich gerne wissen, ob man irgendwo das Limit für fehlgeschlagene Logins pro IP global begrenzen kann, um solche Angreifer zB nach 2 Versuchen per IP zu bannen.

    Noch ein Wort zum System:
    - vServer von vserver.de
    - RedHat

    Gruß,

    lynix
    Das Problem hat wohl jeder, der einen eigenen Server betreibt: Wörterbuch-Angriffe auf ssh, der Webserver wird nach Schwachstellen abgeklappert, und und und. Das wichtigste ist, immer die aktuellen Sicherheitsupdates deiner Distribution einspielen und starke Passwörter wählen.

    Habe vor kurzem auch überlegt mir sowas wie http://www.pettingers.org/code/SSHBlack.html. Aber nachdem ich mich mal via Google schlau gemacht habe, ist man ohne solche Tools besser beraten. Solang man sshd richtig konfiguriert hat und starke Passwörter (oder besser noch "Key based athentication") benutzt hat ein Angreifer keine Chance.

    Hier noch ein paar Tipps:
    • root nicht über ssh einloggen lassen, stattdessen su und/oder sudo benutzen. ("PermitRootLogin no")
    • Passwörter z.B. von apg erzeugen lassen.
    • LoginGraceTime (die Zeit in der man sich erfolgreich eingeloggt haben muss, bevor sshd die Verbindung schließt) in der sshd_config runtersetzen (20s sind i.d.R. ausreichend).
    • "MaxStartups 1" in der sshd_config bewirkt, dass sshd nur einen gleichzeitigen Loginversuch zulässt - bei "2" dürften sich z.B. zwei Leute zur selben Zeit auf deinem Server einloggen (solang du keine Shell Accounts verkaufst sollte "1" vollkommen ausreichen).
    • "Protocol 2" und _NICHT_ "Protocol 1,2"
    • "AllowUsers " setzen. Z.B. würde "AllowUsers Peter Maria Hans" nur den Usern Peter, Maria und Hans den Zugang via ssh gestatten (Lies dazu am besten mal die manpage (`man 5 sshd_config'), "AllowUsers" kennt auch Wildcards und man kann User auch nur den Zugriff von bestimmten anderen Hosts aus gestatten.
    • Du kannst natürlich auch "PasswordAuthentication no" setzen, so dass man sich _nur noch_ mit Key einloggen kann. Den Key könntest du dann z.B. auf einem USB-Stick speichern um dich auch von anderen Computern aus auf deinem Server einloggen zu können.
    • sshd auf einem anderen Port hören lassen; Oder noch besser den ssh-Port mittels iptables zu lassen und von knockd oder einem anderen Portknocking Daemon nur bei Bedarf öffnen lassen.


    Gibt bestimmt noch mehr, was man machen kann um sshd abzusichern - aber einerseits ist der zusätzliche Schutz, den man bekommt, ab einem bestimmten Punkt so gering, dass der Aufwand IMHO nicht lohnt. Andererseits muss man immer zwischen Benutzerfreundlichkeit und Sicherheit abwägen...

    Außerdem würde ich mich nicht zusehr auf die Sicherheit von sshd konzentrieren, andere Dienste wie der httpd oder ein Mailserver sind i.d.R wesentlich anfälliger für Angriffe...

    Vielleicht steht ja auch im Linux Security HOWTO noch was nützliches drin.
    Zitieren Zitieren
  15. 04.07.05, 09:44 #15
    chrisi1698
    chrisi1698 ist offline
    Konsolen-Pinguin
    Registriert seit
    May 2005
    Ort
    Bezirk Wien-Umgebung
    Beiträge
    103
    chrisi1698 eine Nachricht über ICQ schicken chrisi1698 eine Nachricht über AIM schicken
    kann mir wer erklaeren, was solche dictionary attacks eigentlich bringen sollen?
    ich mein, wenn der sshd einem 'login incorrect' mitteilt, weiss man ja nicht mal ob der username oder das pw falsch war, und da jeder name vielleicht 4mal hintereinander probiert wird.... selbst wenns den usernamen gaebe waere es ein riesiger zufall, wenn bei den 4 versuchen das richtige pw dabei waere... oder hab ich nen denkfehler im konzept?

    lg, chris
    My ${HOME} is my castle

    The only problem about troubleshooting is, that trouble shoots back...!
    Zitieren Zitieren
« Vorheriges Thema | Nächstes Thema »

Ähnliche Themen

  1. LDAP Server kann nicht connecten
    Von WillhelmTell im Forum Linux als Server
    Antworten: 2
    Letzter Beitrag: 08.02.08, 16:34
  2. Fritz!DSL + capiutils: mysteriöser Fehler
    Von mathisdt im Forum Anbindung an die Aussenwelt
    Antworten: 1
    Letzter Beitrag: 08.04.05, 08:51
  3. Fehler in httpd.conf ??
    Von norito im Forum Linux als Server
    Antworten: 3
    Letzter Beitrag: 02.10.04, 09:01
  4. HL-Server erscheint nicht in WON-Liste
    Von mrsuicide im Forum Dedizierte Spiele Server
    Antworten: 3
    Letzter Beitrag: 01.04.03, 09:16
  5. dsl: einwahl mit cinternet geht, mit pppd aber nicht
    Von Maurus im Forum Anbindung an die Aussenwelt
    Antworten: 3
    Letzter Beitrag: 20.02.02, 14:34

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  

Foren-Regeln