(gelöst)Hackversuch auf den Sshd

geistloss · 14 Okt. 2008

Guten Abend
Jemand versucht in letzter Zeit auf meinen sshd zu connecten. Hier ein kleiner auszug aus der /var/log/messages

Oct 14 18:08:17 XXXXX sshd[1520]: Invalid user zabbix from 116.14.255.141
Oct 14 18:08:20 XXXXX sshd[1525]: Invalid user adsl from 116.14.255.141
Oct 14 18:08:26 XXXXX sshd[1535]: Invalid user exam from 116.14.255.141
Oct 14 18:08:29 XXXXX sshd[1540]: Invalid user puma from 116.14.255.141
Oct 14 18:09:01 XXXXX sshd[1590]: Invalid user superman from 116.14.255.141

Meine Kenndaten

sshd 2.15.3-27 , Opensuse 10.3 32bit , Kde 3.5.7 release 72.9 , OS 2.6.22.18-02

Was kann ich machen und müsst ihr die sshd conf sehen besten dank im voraus

framp · 14 Okt. 2008

Zu diesem Forum gibt es noch ein WiKi :roll: Sieh mal hier nach

geistloss · 14 Okt. 2008

Ich habe den Dienst im Moment offline und werde mich einmal umsehen , besten Dank

nbkr · 14 Okt. 2008

Sowas ist eigentlich kein ernsthafter Angriff. Da klopft nur jemand an die Tür. Klassischer Fall eines Script Kiddie. Den Link zu den Problemlösungen hast Du ja schon bekommen. Offline nehmen brauchst Du den Dienst deswegen nicht gleich.

geistloss · 14 Okt. 2008

Ja ich weiss schon , aber es nervt ein wenig. ich werde mich Morgen damit beschäftigen . wünsche euch noch einen schönen abend

framp · 14 Okt. 2008

nbkr schrieb:
Sowas ist eigentlich kein ernsthafter Angriff. Da klopft nur jemand an die Tür. Klassischer Fall eines Script Kiddie. Den Link zu den Problemlösungen hast Du ja schon bekommen. Offline nehmen brauchst Du den Dienst deswegen nicht gleich.

... kommt darauf an :roll: Wenn er User auf seinem System hat mit 0815 UIDs und 0815 PWDs wäre ich schon nervös. Besonder wenn root auch noch ein 0815 PW hat :schockiert:

gropiuskalle · 14 Okt. 2008

fail2ban (siehe auch im von framp geposteten Wiki) dürfte die Meldungen bzw. login-Versuche ausreichend dezimieren. In der Config von fail2ban lässt sich ssh sehr bequem gesondert einstellen, das ist eine Sache von 'ner Minute.

whois · 15 Okt. 2008

Hi

Das sieht mir aber sehr nach einem Scriptkiddie ohne Hintergrundwissen aus. :/

superman,puma,adsl ..... :lol:

Da hat jemand zuviel Zeit und es fehlt an KnowHow,

cu

spoensche · 15 Okt. 2008

whois schrieb:
Da hat jemand zuviel Zeit und es fehlt an KnowHow,

Und denkt bestimmt das jemand der Ahnung hat wirklich solche Nutzernamen anlegt.

gropiuskalle · 15 Okt. 2008

Och, man liest ja auch von admins so einiges, was einen den Kopf schütteln lässt.

Besonders effektiv ist diese Art der Attacke in der Regel vermutlich aber wirklich nicht.

geistloss · 16 Okt. 2008

hi
Danke für den Tipp mit dem fail2ban. Dass werde ich noch machen
Also 0815 Benutzer und PW habe ich gottseidank nicht. Da ich aber noch nicht viel Ahnung habe wollte ich doch noch einmal nachfragen, es ist ja nur ein spassserver zum lernen aber kann ich vom Angreifer die MAC adresse rausfinden und sie dann ganz einfach sperren ? Wenn es ein kiddy ist wäre ich in ziemlich sicher los. gruss

spoensche · 16 Okt. 2008

Die MAC- Adresse kannst du meines Wissens her nicht rausfinden.

framp · 16 Okt. 2008

Bei den Script Kiddies reicht es den ssh Port von 22 auf irgendeinen anderen unbenutzten Port zu legen. Ich hatte danach bei mir Ruhe.

(gelöst)Hackversuch auf den Sshd

geistloss

Newbie

framp

Moderator

geistloss

Newbie

nbkr

Guru

geistloss

Newbie

framp

Moderator

gropiuskalle

Guru

whois

Ultimate Guru

spoensche

Moderator

gropiuskalle

Guru

geistloss

Newbie

spoensche

Moderator

framp

Moderator