Sie sind nicht angemeldet.

Automatisierte Angriffe

XY

Anfänger

  • »XY« ist der Autor dieses Themas

Beiträge: 22

  • Nachricht senden

1

14.08.2004, 08:53

Automatisierte Angriffe

Hi,

ich beobachte seit Wochen, dass immer wieder versucht wird, per SSH auf meinen Server zuzugreifen:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

Failed logins from these:
   admin/password from ::ffff:202.64.162.11: 2 Time(s)
   admin/password from ::ffff:218.108.41.100: 4 Time(s)
   guest/password from ::ffff:202.64.162.11: 1 Time(s)
   guest/password from ::ffff:218.108.41.100: 2 Time(s)
   guest/password from ::ffff:62.112.129.94: 2 Time(s)
   root/password from ::ffff:202.64.162.11: 3 Time(s)
   root/password from ::ffff:218.108.41.100: 6 Time(s)
   test/password from ::ffff:200.73.162.10: 2 Time(s)
   test/password from ::ffff:202.64.162.11: 2 Time(s)
   test/password from ::ffff:218.108.41.100: 4 Time(s)
   test/password from ::ffff:62.112.129.94: 2 Time(s)
   user/password from ::ffff:202.64.162.11: 1 Time(s)
   user/password from ::ffff:218.108.41.100: 2 Time(s)
 
Illegal users from these:
   admin/none from ::ffff:202.64.162.11: 2 Time(s)
   admin/none from ::ffff:218.108.41.100: 4 Time(s)
   admin/password from ::ffff:202.64.162.11: 2 Time(s)
   admin/password from ::ffff:218.108.41.100: 4 Time(s)
   guest/none from ::ffff:202.64.162.11: 1 Time(s)
   guest/none from ::ffff:218.108.41.100: 2 Time(s)
   guest/none from ::ffff:62.112.129.94: 2 Time(s)
   guest/password from ::ffff:202.64.162.11: 1 Time(s)
   guest/password from ::ffff:218.108.41.100: 2 Time(s)
   guest/password from ::ffff:62.112.129.94: 2 Time(s)
   test/none from ::ffff:200.73.162.10: 2 Time(s)
   test/none from ::ffff:202.64.162.11: 2 Time(s)
   test/none from ::ffff:218.108.41.100: 4 Time(s)
   test/none from ::ffff:62.112.129.94: 2 Time(s)
   test/password from ::ffff:200.73.162.10: 2 Time(s)
   test/password from ::ffff:202.64.162.11: 2 Time(s)
   test/password from ::ffff:218.108.41.100: 4 Time(s)
   test/password from ::ffff:62.112.129.94: 2 Time(s)
   user/none from ::ffff:202.64.162.11: 1 Time(s)
   user/none from ::ffff:218.108.41.100: 2 Time(s)
   user/password from ::ffff:202.64.162.11: 1 Time(s)
   user/password from ::ffff:218.108.41.100: 2 Time(s)


Da ich solche dümmlichen Usernamen/Paßwörter nicht benutze ist das bisher kein Problem. Allerdings würde mich doch mal interessieren, was die Ursache dafür ist! Da es immer von anderen IPs aus geschieht und die Angriffe wirklich ständig erfolgen, vermute ich fast, dass es irgend ein Virus ist. Kein Skript-Kiddie kann schließlich so dumm sein, ständig die gleiche IP erfolglos anzugreifen (und dafür auch noch seine Kumpels) zu Hilfe bitten.

Weiß eventuell jemand näheres über diese Geschichte hier?
cu

XY

--

http://www.linuxboard.org - das Linux Entwicklerforum

kernelpanic

Utzelglutzel of the Year!

Beiträge: 717

  • Nachricht senden

2

14.08.2004, 12:48

RE: Automatisierte Angriffe

> Weiß eventuell jemand näheres über diese Geschichte hier?

Nein. Ich hab diese Loginversuche auch seit Wochen. Das Thema wird auch schon in den einschlägigen Foren diskutiert. Es wird vermutet, dass da ein Scriptkiddietool unterwegs ist, dass eine bislang unbekannte Sicherheitslücke ausnutzen will.

Ich kan nur jedem empfehlen immer die aktuellste Version von OpenSSL und OpenSSH zu instllieren. Wenn es möglich ist, sollte man ausserdem den Zugriff via SSH mit einem Paketfilter einschänken.

Gruss,
kp

XY

Anfänger

  • »XY« ist der Autor dieses Themas

Beiträge: 22

  • Nachricht senden

3

14.08.2004, 13:21

RE: Automatisierte Angriffe

Zitat

Original von kernelpanic
Wenn es möglich ist, sollte man ausserdem den Zugriff via SSH mit einem Paketfilter einschänken.


Was nicht so einfach ist, wenn man immer per T-Online unterwegs ist. Sperre ich mich mit einem Filter 217.0.0.0/8 unter Umständen selbst aus?
cu

XY

--

http://www.linuxboard.org - das Linux Entwicklerforum

inovaline

Schüler

Beiträge: 61

  • Nachricht senden

4

11.09.2004, 12:38

Hallo

Du kannst SSH auch so konfigurieren, das die Anmeldung nur noch per (Deinen) Schlüssel erfolgen kann.

HowTo's dafür gibts jede Menge im Netz .


Grüße

kernelpanic

Utzelglutzel of the Year!

Beiträge: 717

  • Nachricht senden

5

11.09.2004, 14:14

> nur noch per (Deinen) Schlüssel erfolgen kann.

Ja, dann muss man aber zusehen, dass wirklich niemand an den Key kommt. Das kann man auch nicht ueberall sicherstellen.

> HowTo's dafür gibts jede Menge im Netz .

Howto?
Das ist ein Dreizeiler...

Gruss,
kp

inovaline

Schüler

Beiträge: 61

  • Nachricht senden

6

11.09.2004, 14:31

Zitat

Original von kernelpanic

Ja, dann muss man aber zusehen, dass wirklich niemand an den Key kommt. Das kann man auch nicht ueberall sicherstellen.



@kernelpanic
Da gebe ich Dir vollkommen recht.
Direkt als root würde ich das auch nicht machen .

Für das reine Einrichten genügt ein 3 Zeiler. Aber derjenige der noch wenig Erfahrung auf dem Gebiet hat sollte es sich dann auch belesen . Gerade bei diesen Thema. :schreck:

Grüße

fli4linux

Profi

  • »fli4linux« ist männlich

Beiträge: 918

  • Nachricht senden

7

11.09.2004, 16:58

das grasiert zur zeit wirklich gewalig. Bei mir auch. Setzt gute passwörter, wie z.B für root das passwort root :)
There are only 10 types of people in the world: Those who understand binary and those who don't
Thema bewerten