Datum:
Ich sehe immer wieder Versuche, den ssh-Zugang des Servers zu knacken, die nach folgendem Schema verlaufen:
Feb 5 15:43:13 h******* sshd[12131]: Did not receive identification string from 85.214.xx.xxx Feb 5 22:07:22 h******* sshd[13794]: Did not receive identification string from 85.214.xx.xxx Feb 5 22:55:17 h******* sshd[13866]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=85.214.xx.xxx user=root Feb 5 22:55:19 h******* sshd[13866]: Failed password for root from 85.214.xx.xxx port 52241 ssh2 Feb 5 22:55:19 h******* sshd[13868]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=85.214.xx.xxx user=root Feb 5 22:55:22 h******* sshd[13868]: Failed password for root from 85.214.xx.xxx port 52709 ssh2 |
Was steckt hinter den beiden ersten Log-Zeilen, die lange vor dem eigentlichen Einbruchsversuch kamen? Ein Versuch, den Apachen aufs Kreuz zu legen, kann es nicht sein, denn mit einzelnen solchen Paketen wird man das kaum schaffen.
Datum:
Ein Standardversuch. Eine SSH Loginanfrage. Dann creirt der Server einen neuen Thread und wartet. Es kommt dann nichts mehr, aber das Memory ist weg. Zumindest fuer eine gewisse Zeit. So ein Angriff laeft mit 1000 Clients aufs mal. Eine gute Abwehr dagegen ist, die anfragende IP fuer einen Tag zu sperren. Noch besser ist den SSH port zu sperren, sofern man sich das erlauben kann.
Datum:
So wies aussieht, kommt der Angriff von einem Strato-Server, die IP sieht mir irgendwie danach aus. Wahrscheinlich ein infizierter Server in deren Netz. Du kannst das mal an Strato melden , die sollten sich drum kümmern. Hatte ich neulich auch!
Datum:
Schon mal ermittelt, woher die IP-Adresse 85.214.xx.xxx stammt? Kommt wohl mitten aus Berlin!
Datum:
Seitdem Strato aufgekauft / übernommen wurde gibt es dort wohl öfter solche Merkwürigkeiten!
Datum:
Pico Oschi schrieb: > Ein Standardversuch. Eine SSH Loginanfrage. Dann creirt der Server einen > neuen Thread und wartet. Es kommt dann nichts mehr, aber das Memory ist > weg. Zumindest fuer eine gewisse Zeit. So ein Angriff laeft mit 1000 > Clients aufs mal. Nein, das ist es nicht!!! Solche Anfragen kommen nicht 1000-fach, sondern nur 1 bis 2 mal, meist mehr oder weniger lange bevor eine Bruteforce-Attacke auf das Paßwort gestartet wird. > Eine gute Abwehr dagegen ist, die anfragende IP fuer einen Tag zu > sperren. Ich sperr die Kerle für eine Woche aus, damit sie nicht dauernd wieder einen Alarm provozieren, bevor der Provider ihnen das Handwerk gelegt hat. Es gibt aber immer wieder Wiederholungstäter, die offenbar denselben Server mehrfach hintereinander kapern und dann im Strato-Netzwerk ihr Unwesen treiben. Dr. G. Reed schrieb: > So wies aussieht, kommt der Angriff von einem Strato-Server, die IP > sieht mir irgendwie danach aus. Genau. Ich durchsuche meine Logs regelmäßig nach Angreifen aus den Strato-Adreßblocks und melde die. Im Moment scheint dort eine ziemlich massive Angriffswelle langsam abzuebben. Ich hatte kürzlich Angriffe von bis zu 8 verschiedenen Sites mit 85.214... an einem Tag. Elektroniker schrieb: > Schon mal ermittelt, woher die IP-Adresse 85.214.xx.xxx stammt? Das ist so eine Sache. whois sagt nur, daß es ein Strato-Block ist und die Adresse per Browser aufrufen, mag ich nicht unbedingt...
Datum:
Uhu Uhuhu schrieb: > Das ist so eine Sache. whois sagt nur, daß es ein Strato-Block ist und > die Adresse per Browser aufrufen, mag ich nicht unbedingt... Machs doch über einen Proxy. Weiter: * Stell den ssh-Port auf einen anderen * Erlaube ssh-Versuche nur von deinen IP-Bereich wenn du nur von zuhause darauf zugreifst.
Datum:
Troll schrieb: > Machs doch über einen Proxy. Was soll das bringen? Wenn eine infizierte Seite über einen Proxy kommt, ist sie doch nicht entschärft. Ich habe ein ewig langes Zufalls-Paßwort als Notnagel auf dem ssh und greife selbst nur per Zertifikat darauf zu. Ich glaube nicht, daß das für meinen Server ein Problem ist, nur wollen die Kerle ja wohl kaum nur mit fremden Servern spielen, sondern sie zu Gaunereien mißbrauchen - denen das Handwerk zu legen, ist durchaus nützlich. Ich hatte übrigens auch schonmal eine Attacke vom Server einer Spedition und von einem Kreditvermittlungsportal. Erstaunlich finde ich eigentlich, daß Strato selbst offenbar nichts, oder nicht viel unternimmt, gekaperte Server selbst zu erkennen. Schwierig ist das ja wohl nicht.
Datum:
Ich glaub nicht, dass die Internet-Seiten selbst auf dem Server 'infiziert' sind, die kann man wohl unbesorgt aufrufen.... Der Angriff kommt ja nicht 'von den Webseiten', sondern von irgendeinem eingeschleusten Prozess, welcher auf dem Server läuft und von dort aus gezielt andere Server angreift.
Datum:
Uhu Uhuhu schrieb: > Was soll das bringen? Wenn eine infizierte Seite über einen Proxy kommt, > ist sie doch nicht entschärft. Benutz NoScript oder lad dir die Seite mit wget runter und betrachte sie in einem Editor. Sei kreativ :) Uhu Uhuhu schrieb: > nur wollen die Kerle ja wohl kaum nur > mit fremden Servern spielen, sondern sie zu Gaunereien mißbrauchen - > denen das Handwerk zu legen, ist durchaus nützlich. Es ist schon gut, dass du die meldest, aber du fragst hier alle paar Wochen wegen Einträgen in deinem Log. Beitrag "Merkwürdige Anfragen an Internetserver" Beitrag "Einbruchversuche auf Internetserver" Deine heutigen ersten beiden Einträge hatten wir im 1. verlinkten Thread auch schon. In beiden wurde dir geraten, doch endlich mal den Port woanders hinzulegen. Machs doch einfach mal.
Datum:
Dr. G. Reed schrieb: > Ich glaub nicht, dass die Internet-Seiten selbst auf dem Server > 'infiziert' sind, die kann man wohl unbesorgt aufrufen.... Das halte ich für grob leichtsinnig. Wenn die einen Server kapern, ist es nicht unwahrscheinlich, daß sie - sofern es eine frequentierte Site ist - Code für XSS-Attacken dort einbauen und dann hast du die Scheiße am Bein. > Der Angriff kommt ja nicht 'von den Webseiten', sondern von irgendeinem > eingeschleusten Prozess, welcher auf dem Server läuft und von dort aus > gezielt andere Server angreift. Und wer sagt, daß da nicht mehrgleisig gefahren wird? Daß sie eigene Prozesse auf einem fremden Sever laufen haben, heißt doch nur, daß sie ihn vollständig unter Kontrolle haben.
Datum:
Troll schrieb: > Deine heutigen ersten beiden Einträge hatten wir im 1. verlinkten Thread > auch schon. In beiden wurde dir geraten, doch endlich mal den Port > woanders hinzulegen. Machs doch einfach mal. Hatten wir nicht. Der 5.2.2012 war vorgestern. Ich frag nicht, weil ich mir um den Server sorgen mache - wäre es so, kannst du sicher sein, daß ich längst einen anderen Port für ssh gewählt hätte. Vielmehr will wissen, was hinter dem Muster steckt - vestehst du diesen feinen Unterschied?
Datum:
Klar, durchaus möglich dass da auch was an den Files verändert wurde. Aber ohne Javascript / Flash etc... ist so eine Seite recht harmlos anzuschauen!
Datum:
Uhu Uhuhu schrieb: > Hatten wir nicht. Der 5.2.2012 war vorgestern. Mit heutigen meinte ich den Thread. Uhu Uhuhu schrieb: > Vielmehr will wissen, was hinter dem Muster steckt - vestehst du > diesen feinen Unterschied? Ja den verstehe ich. Aber außer dem Angreifer kann dir keiner genau sagen, was das wird. Alle anderen können immer nur vermuten. Vielleicht ob dein Server einfach noch online ist.
Datum:
@Dr. G. Reed Ich mal welche mit curl heruntergeladen - der Inhalt war allerdings, sofern überhaupt über Port 80 was kam, ziemlich unspektakulär. Troll schrieb: > Ja den verstehe ich. Aber außer dem Angreifer kann dir keiner genau > sagen, was das wird. Alle anderen können immer nur vermuten. Vielleicht > ob dein Server einfach noch online ist. Es könnte ja sein, daß sich hier jemand rumtreibt, der sich in der Materie auskennt. Es soll ja auch Leute geben, die sowas analysieren und womöglich sogar ihr Geld damit verdienen, oder mal verdient haben. In der Bäckerei um die Ecke würde ich die Frage nicht stellen ;-)
Datum:
Und wenn Du noch 20x fragst, es werden keine anderen Antworten kommen. Jeder der einen oder mehrere Server betreibt kennt dieses "Grundrauschen" in den Logs. Sind halt einfach Scripte die nach SSH suchen und teilweise Standardpasswörter versuchen. Interessiert nicht die Bohne. Viel interessanter sind Angriffe die so ein Aushilfs-Admin nicht sieht. Also leg SSH auf einen anderen Port und/oder installier Dir ossec und lies Dich mal ein wenig ein. Deine ständigen Anfragen sind nichts anderes als diese Einträge in den Logs - lästiges Grundrauschen.
Datum:
fail2ban schrieb: > Und wenn Du noch 20x fragst, es werden keine anderen Antworten kommen. Zumindest von dir nicht, aber damit kann ich leben...
Datum:
Also liegt dir Nichts daran den Zirkus zu beenden, oder das Grundrauschen zu unterbinden? Ab welchem Level wird das eigentlich interessant kriminell, so daß man da wirklich etwas einleiten muß? Der neue Besitzer der Stratofarm ist dir bekannt, Uhu? Eine deiner Lieblingsfirmen! Du wirst doch dort nicht, durch deine Kritiken hier, ein paar Junkys angelockt haben?
Datum:
Uhu Uhuhu schrieb: > Das ist so eine Sache. whois sagt nur, daß es ein Strato-Block ist und > die Adresse per Browser aufrufen, mag ich nicht unbedingt... ich hab davon keine Ahnung, aber kann man die nicht mit einem virtuellen Betriebssystem aufrufen? Nachdem was ich gelesen und verstanden habe doch sicher? falls meine Informationen falsch sind, bitte belehre mich.
Datum:
@Elektroniker Spar dir diesen Stuß. Strato ist nicht der einzige Provider, bei dem fremde Server gekapert werden und dein Gewäsch hat mit dem Gegenstand absolut nichts zu tun.
Datum:
ML schrieb: > ich hab davon keine Ahnung, aber kann man die nicht mit einem virtuellen > Betriebssystem aufrufen? Nachdem was ich gelesen und verstanden habe > doch sicher? Ja, das kann man. Nur was bringt es, solche Seiten anzusehen? Äußerlich wird man ihnen meistens überhaupt nichts ansehen und seitenweise fremden (generierten) Skriptcode zu analysieren, finde ich nicht so furchtbar spannend.
E-Mail-Benachrichtigung einschalten
Neu: Seitenaufteilung einschalten