Am Mittwoch, 20. September 2006 14:33 schrieb Tietz, Andre:
Hi LUG
Ich würde mal gern wissen, von was (welches Programm) in /var/log/messages schreibt?
Nach was sieht das für euch aus, es steht in /var/log/messages
-- Sep 18 02:40:20 unicate sshd[17156]: Did not receive identification string from UNKNOWN Sep 18 02:45:13 unicate sshd[17162]: Failed password for root from 70.86.146.130
Ich gehe mal von aus, daß Du dieser Rechner im Internet steht. Da kommen diese Bots immer mal wieder vorbei, um mit Ausprobieren von Passwörtern zu versuchen, sich unberechtigt Eintritt zu verschaffen.
Da root verständlicherweise ein bevorzugtes Ziel ist, solltest Du die Möglichkeit, sich per ssh als root zu verbinden, unterbinden (man /etc/ssh/sshd_config ==> AllowGroups/AllowUsers) und die Passwörter der erlaubten Nutzer nicht zu einfach wählen. In hartnäckigen Fällen hilft auch ein Ausschluß der Subnetze, die immer wieder negativ auffallen und deren Zugriff nicht von Nöten ist, per iptables.
Also der 18. war einen Montag. Da ich Dienstag früh raus musste, kann ich das nicht gewesen sein, weil ich im Bett lag ^^ Wer hat hier was versucht?
Schauen wir mal: whois 70.86.146.130 OrgName: ThePlanet.com Internet Services, Inc. OrgID: TPCM Address: 1333 North Stemmons Freeway Address: Suite 110 City: Dallas StateProv: TX PostalCode: 75207 Country: US
-- A .Tietz