Hi LUG
Ich würde mal gern wissen, von was (welches Programm) in /var/log/messages schreibt?
Nach was sieht das für euch aus, es steht in /var/log/messages
-- Sep 18 02:40:20 unicate sshd[17156]: Did not receive identification string from UNKNOWN Sep 18 02:45:13 unicate sshd[17162]: Failed password for root from 70.86.146.130 port 50648 ssh2 Sep 18 02:45:16 unicate sshd[17166]: Failed password for root from 70.86.146.130 port 53165 ssh2 Sep 18 02:45:18 unicate sshd[17170]: Failed password for root from 70.86.146.130 port 54478 ssh2 Sep 18 02:45:21 unicate sshd[17174]: Failed password for root from 70.86.146.130 port 56222 ssh2 Sep 18 02:45:24 unicate sshd[17178]: Failed password for root from 70.86.146.130 port 57852 ssh2 Sep 18 02:45:26 unicate sshd[17182]: Failed password for root from 70.86.146.130 port 59093 ssh2 Sep 18 02:45:36 unicate sshd[17186]: Failed password for root from 70.86.146.130 port 59949 ssh2
Also der 18. war einen Montag. Da ich Dienstag früh raus musste, kann ich das nicht gewesen sein, weil ich im Bett lag ^^ Wer hat hier was versucht? -- A .Tietz
2006/9/20, Tietz, Andre andre.tietz@arcor.de:
Hi LUG
Ich würde mal gern wissen, von was (welches Programm) in /var/log/messages schreibt?
Nach was sieht das für euch aus, es steht in /var/log/messages Sep 18 02:45:13 unicate sshd[17162]: Failed password for root from 70.86.146.130
Hä? Wie jetzt, welches Programm, steht doch dort? Da hat halt jemand versucht sich als root auf der Kiste einzuloggen, was nicht funktioniert hat.
Wer hat hier was versucht?
Also ich war's nicht :-)
Tschau,
André
Da hat halt jemand versucht?
Wer versucht mal "einfach" so in einen Rechner einzudringen, der zufällig an dem Tag im Netz ist?
Na das ist ja mal komisch...
Nu gut, aber oft versucht hat ers ja nicht.
Wegen /var/log/messageschreiben denn in /var/log/messages?
Am 20.09.2006, 14:50 Uhr, schrieb André Schulze andre.schulze@gmail.com:
2006/9/20, Tietz, Andre andre.tietz@arcor.de:
Hi LUG
Ich würde mal gern wissen, von was (welches Programm) in /var/log/messages schreibt?
Nach was sieht das für euch aus, es steht in /var/log/messages Sep 18 02:45:13 unicate sshd[17162]: Failed password for root from 70.86.146.130
Hä? Wie jetzt, welches Programm, steht doch dort? Da hat halt jemand versucht sich als root auf der Kiste einzuloggen, was nicht funktioniert hat.
Wer hat hier was versucht?
Also ich war's nicht :-)
Tschau,
André
Lug-dd maillist - Lug-dd@mailman.schlittermann.de http://mailman.schlittermann.de/mailman/listinfo/lug-dd
Am 20.09.2006 um 15:16 schrieb Tietz, Andre:
Da hat halt jemand versucht? Wer versucht mal "einfach" so in einen Rechner einzudringen, der zufällig an dem Tag im Netz ist?
Weils geht. Willkommen im Internet. Nimm zuerst einmal Abschied von der Illusion, daß Linux-Kisten unhackbar sind, und es deshalb gar nicht erst versucht wird. Das Gesehene ist ein Versuch, ein schwaches Passwort zu erraten. Leider sind schwache PWs tatsächlich (wahrscheinlich viel zu häufig) in Benutzung, klassische Beispiele sind Nutzer "test" mit PW "test", "admin,admin", etc.
Nu gut, aber oft versucht hat ers ja nicht.
Heb Deine Logs mal länger auf und zähl dann nochmal.
Wegen /var/log/messageschreiben denn in /var/log/messages?
Mach Dich mit dem Logging (Protokollieren von Systemvorgängen) auf UN*X-Kisten vertraut.
Und gewöhn Dir TOFUs ab.
MfG Sebastian
Am 20.09.2006, 15:58 Uhr, schrieb Sebastian Hegler sebastian@broken-by-design.com:
Am 20.09.2006 um 15:16 schrieb Tietz, Andre:
Da hat halt jemand versucht? Wer versucht mal "einfach" so in einen Rechner einzudringen, der zufällig an dem Tag im Netz ist?
Weils geht. Willkommen im Internet. Nimm zuerst einmal Abschied von der Illusion, daß Linux-Kisten unhackbar sind, und es deshalb gar nicht erst versucht wird. Das Gesehene ist ein Versuch, ein schwaches Passwort zu erraten.
Hab ich nie behauptet. Ich finds nur ganz schön dreist.
Leider sind schwache PWs tatsächlich (wahrscheinlich viel zu häufig) in Benutzung, klassische Beispiele sind Nutzer "test" mit PW "test", "admin,admin", etc.
Nu gut, aber oft versucht hat ers ja nicht.
Heb Deine Logs mal länger auf und zähl dann nochmal.
Wegen /var/log/messageschreiben denn in /var/log/messages?
Mach Dich mit dem Logging (Protokollieren von Systemvorgängen) auf UN*X-Kisten vertraut.
Ne Idee wo (Tut-link oder so)?
Und gewöhn Dir TOFUs ab.
Was ist ein TOFU? (Das das nicht der Fleichersatz ist kann ich mir denken :D:D )
MfG Sebastian _______________________________________________ Lug-dd maillist - Lug-dd@mailman.schlittermann.de http://mailman.schlittermann.de/mailman/listinfo/lug-dd
On Wed, 20 Sep 2006 17:15:01 +0200 "Tietz, Andre" andre.tietz@arcor.de wrote:
Was ist ein TOFU? (Das das nicht der Fleichersatz ist kann ich mir denken :D:D )
Google: Ergebnisse 1 - 10 von ungefähr 1.530.000 Seiten auf Deutsch für TOFU
Oder gleich zu http://de.wikipedia.org/wiki/TOFU.
Ist doch nicht soooo schwer?
Habe CDTEclipse installiert. Nun will ich es als user starten, was auch noch ganz gut funktioniert. Jetzt will ich aber einen vorhandenen Quellcode öffnen (Projekt ist vorher angelegt) und er öffnet mir nicht den Code sondern ich bekomm ein Fenster wo folgendes drinsteht:
Unable to create this part due to an internal error. Reason for the failure: The editor class could not be instantiated. This usually indicates that the editor's class name was mistyped in plugin.xml.
On 20.09.06 Tietz, Andre (andre.tietz@arcor.de) wrote:
Moin,
Also, zuerst: wenn Du ein neues Problem bitte, bitte bitte einen neuen Thread öffnen. Nicht einfach bei einem alten "Reply" drücken. Mein Mailprogramm kann nämlich Threads darstellen^1 und wenn der Thread gerade nicht aufgeklappt ist, sieht man nicht, daß da was Neues reinkam.
Jetzt will ich aber einen vorhandenen Quellcode öffnen (Projekt ist vorher angelegt) und er öffnet mir nicht den Code sondern ich bekomm ein Fenster wo folgendes drinsteht:
Unable to create this part due to an internal error. Reason for the failure: The editor class could not be instantiated. This usually indicates that the editor's class name was mistyped in plugin.xml.
Und, die Fehlermeldung ist doch klar. Hast Du das überprüft?
H.
^1 http://www.amasol.de/~preusse/threads.gif
Hilmar Preusse schrieb:
Also, zuerst: wenn Du ein neues Problem bitte, bitte bitte einen neuen Thread öffnen. Nicht einfach bei einem alten "Reply" drücken. Mein Mailprogramm kann nämlich Threads darstellen^1 und wenn der Thread gerade nicht aufgeklappt ist, sieht man nicht, daß da was Neues reinkam.
Das ist jetzt aber ein klassischer Knieschuß, denn das Argument gegeüber Outlook ist ja gerade, daß man solche Dinge nicht tun soll, weil jemand kaputte Software benutzt. ;-) Unkaputte bzw. korrekt konfigurierte Software wird Dir trotzdem anzeigen, daß da eine neue Mail ist. Nichtsdesotrotz hast Du natürlich recht, daß man für ein neues Thema einen neuen Thread eröffnet. Nicht umsonst wird "Thread" in diesem Zusammenhang hin und wieder mit "Thema" übersetzt.
Eric
On 21.09.06 Eric-Alexander Schaefer (eric@gixgax.de) wrote:
Hilmar Preusse schrieb:
Moin,
Also, zuerst: wenn Du ein neues Problem bitte, bitte bitte einen neuen Thread öffnen.
Das ist jetzt aber ein klassischer Knieschuß, denn das Argument gegeüber Outlook ist ja gerade, daß man solche Dinge nicht tun soll, weil jemand kaputte Software benutzt. ;-)
Ich wollte nicht missionieren, sondern nur bitten. Ist ja letztendlich auch in seinem Interesse. Wenn ich ordentliche[TM] Software verwende und gleichzeitig diesen Thread in meine persönliche Tonne getreten habe, geht seine neue Anfrage automatisch mit weg. Möglicherweise bin aber gerade ich der Spezialist dafür -> PGH.
Wenn seine Software nicht threaden kann ist das sein Problem, aber in meiner Mailbox hätte ich ohne das schon lange die Übersicht verloren.
H.
Am Mittwoch, 20. September 2006 21:26 schrieb Tietz, Andre:
Habe CDTEclipse installiert.
Was hat das mit dem Thread "/var/log/messages ??" zu tun???
Am 20.09.2006 um 17:15 schrieb Tietz, Andre:
Wegen /var/log/messageschreiben denn in /var/log/messages?
Mach Dich mit dem Logging (Protokollieren von Systemvorgängen) auf UN*X-Kisten vertraut.
Ne Idee wo (Tut-link oder so)?
"man syslogd", "man syslog-ng", die Webseiten zu der Software, mal Tante Guhgel befragen, "man 3 syslog".
MfG Sebastian
Hi Andre,
On Wed, Sep 20, 2006 at 15:16:04 +0200, Tietz, Andre wrote:
Da hat halt jemand versucht?
Wer versucht mal "einfach" so in einen Rechner einzudringen, der zufaellig an dem Tag im Netz ist?
Na das ist ja mal komisch...
Nein, das ist voellig normal. Vom Internet erreichbare Rechner werden gescannt, ob man will oder nicht. Und wird ein "well known"-Port wie 22 offen vorgefunden, kommt es oft auch zu Einbruchsversuchen wie bei Dir. Die Frage ist nun, ob Du einen ssh-Zugang von aussen ueberhaupt erlauben willst. Ist das nicht der Fall, kannst Du mit einer passenden iptables-Regel Zugriffe auf Port 22 ueber das Interface ppp0 verbieten.
Nochmal zum Logging allgemein: Die meisten Logdateien in /var/log werden nicht von den diversen Dienstprogrammen geschrieben, sondern vom Syslog-Daemon. Das ist eine zentrale Log-Instanz, die von den Diensten, die etwas loggen wollen, Meldungen entgegennimmt und diese dann je nach Konfiguration in Dateien schreibt oder per Netz zu anderen Syslog-Servern schiebt.
Gruss, Chris
Am Mittwoch, 20. September 2006 17:07 schrieb Christian Perle:
Hi Andre,
On Wed, Sep 20, 2006 at 15:16:04 +0200, Tietz, Andre wrote:
Da hat halt jemand versucht?
Wer versucht mal "einfach" so in einen Rechner einzudringen, der zufaellig an dem Tag im Netz ist?
Na das ist ja mal komisch...
Nein, das ist voellig normal. Vom Internet erreichbare Rechner werden gescannt, ob man will oder nicht. Und wird ein "well known"-Port wie 22 offen vorgefunden, kommt es oft auch zu Einbruchsversuchen wie bei Dir. Die Frage ist nun, ob Du einen ssh-Zugang von aussen ueberhaupt erlauben willst. Ist das nicht der Fall, kannst Du mit einer passenden iptables-Regel Zugriffe auf Port 22 ueber das Interface ppp0 verbieten.
Ist es denn prinzipiell nicht besser, den Dienst gar nicht erst an zB ppp0 zu binden, als denn "ein Pflaster in Form einer iptables Rule über ein nicht nötiges Loch zu kleben?"
Gruss, Chris
Schönen Tag Robert
Hi Robert,
On Wed, Sep 20, 2006 at 17:34:20 +0200, Robert M?ller wrote:
Ist es denn prinzipiell nicht besser, den Dienst gar nicht erst an zB ppp0 zu binden, als denn "ein Pflaster in Form einer iptables Rule ueber ein nicht noetiges Loch zu kleben?"
Das ist natuerlich richtig. Mit iptables ist man allerdings flexibler und kann den Zugriff von aussen temporaer erlauben, z.B. auf Basis von Portknocking.
Gruss, Chris
On Wed, Sep 20, 2006 at 06:04:23PM +0200, Christian Perle wrote:
Hi Robert,
On Wed, Sep 20, 2006 at 17:34:20 +0200, Robert M?ller wrote:
Ist es denn prinzipiell nicht besser, den Dienst gar nicht erst an zB ppp0 zu binden, als denn "ein Pflaster in Form einer iptables Rule ueber ein nicht noetiges Loch zu kleben?"
Das ist natuerlich richtig. Mit iptables ist man allerdings flexibler und kann den Zugriff von aussen temporaer erlauben, z.B. auf Basis von Portknocking.
Und mit -j DROP erhoeht man die Dauer eines Portscans betraechtlich...
Ulf
andre.tietz@arcor.de schrieb:
Hi LUG
Ich würde mal gern wissen, von was (welches Programm) in /var/log/messages schreibt?
Nach was sieht das für euch aus, es steht in /var/log/messages
-- Sep 18 02:40:20 unicate sshd[17156]: Did not receive identification string from UNKNOWN Sep 18 02:45:13 unicate sshd[17162]: Failed password for root from 70.86.146.130 port 50648 ssh2 Sep 18 02:45:16 unicate sshd[17166]: Failed password for root from 70.86.146.130 port 53165 ssh2 Sep 18 02:45:18 unicate sshd[17170]: Failed password for root from 70.86.146.130 port 54478 ssh2 Sep 18 02:45:21 unicate sshd[17174]: Failed password for root from 70.86.146.130 port 56222 ssh2 Sep 18 02:45:24 unicate sshd[17178]: Failed password for root from 70.86.146.130 port 57852 ssh2 Sep 18 02:45:26 unicate sshd[17182]: Failed password for root from 70.86.146.130 port 59093 ssh2 Sep 18 02:45:36 unicate sshd[17186]: Failed password for root from 70.86.146.130 port 59949 ssh2
Also der 18. war einen Montag. Da ich Dienstag früh raus musste, kann ich das nicht gewesen sein, weil ich im Bett lag ^^ Wer hat hier was versucht? -- A .Tietz
Lug-dd maillist - Lug-dd@mailman.schlittermann.de http://mailman.schlittermann.de/mailman/listinfo/lug-dd
der ssh2 deamon schreib in messages. Jemand mit der IP 70.86.146.130 hat sich versucht als root auf deinen rechner anzumelden indem er eine viele Passwörter ausprobiert.
Am Mittwoch, 20. September 2006 14:33 schrieb Tietz, Andre:
Hi LUG
Ich würde mal gern wissen, von was (welches Programm) in /var/log/messages schreibt?
Alle, die den syslogd als (Fehler-)ausgabe verwenden.
man syslogd
Nach was sieht das für euch aus, es steht in /var/log/messages
-- Sep 18 02:40:20 unicate sshd[17156]: Did not receive identification string from UNKNOWN Sep 18 02:45:13 unicate sshd[17162]: Failed password for root from 70.86.146.130 port 50648 ssh2 Sep 18 02:45:16 unicate sshd[17166]: Failed password for root from 70.86.146.130 port 53165 ssh2
Der ssh Daemon wurde (von außen) blöd angequatscht und hat das registriert. Die Reihenfolge: Wann (Sep 18 ..), welches Programm meldet sich beim syslogd (sshd mit Prozeßnummer 17162), welche Meldung (Failed ..).
Hier hat also jemand vom Rechner 70.86.146.130 versucht, bei Dir root zu werden. Aber scheinbar hast Du ein brauchbares root-Passwort ...
Wer hat hier was versucht?
Der Wind, der Wind ...
Bernhard
On 20.09.06 Bernhard Schiffner (bernhard@schiffner-limbach.de) wrote:
Am Mittwoch, 20. September 2006 14:33 schrieb Tietz, Andre:
Moin,
[ssh logins von außen]
Wer hat hier was versucht?
Der Wind, der Wind ...
whois 70.86.146.130
Nö, die Texaner. Also Gerge W persönlich. Im übrigen sollte man den sshd eh so konfigurieren, daß man sich nicht direkt als root einloggen kann.
H.
Am Mittwoch, 20. September 2006 14:33 schrieb Tietz, Andre:
Hi LUG
Ich würde mal gern wissen, von was (welches Programm) in /var/log/messages schreibt?
Nach was sieht das für euch aus, es steht in /var/log/messages
-- Sep 18 02:40:20 unicate sshd[17156]: Did not receive identification string from UNKNOWN Sep 18 02:45:13 unicate sshd[17162]: Failed password for root from 70.86.146.130 port 50648 ssh2 Sep 18 02:45:16 unicate sshd[17166]: Failed password for root from 70.86.146.130 port 53165 ssh2 Sep 18 02:45:18 unicate sshd[17170]: Failed password for root from 70.86.146.130 port 54478 ssh2 Sep 18 02:45:21 unicate sshd[17174]: Failed password for root from 70.86.146.130 port 56222 ssh2 Sep 18 02:45:24 unicate sshd[17178]: Failed password for root from 70.86.146.130 port 57852 ssh2 Sep 18 02:45:26 unicate sshd[17182]: Failed password for root from 70.86.146.130 port 59093 ssh2 Sep 18 02:45:36 unicate sshd[17186]: Failed password for root from 70.86.146.130 port 59949 ssh2
Also der 18. war einen Montag. Da ich Dienstag früh raus musste, kann ich das nicht gewesen sein, weil ich im Bett lag ^^ Wer hat hier was versucht? -- A .Tietz
Das wurde vom sshd geschrieben, ähnliches findest Du auch in /var/log/auth.log. $JEMAND (höchstvermutlich ein Script) hat versucht, bei Dir zu connecten und per brute Force Dein root PW zu knacken.
Da man ja sowieso in /etc/ssh/sshd_config "PermitRootLogin no" drinne stehen haben sollte und anständige Passwörter für die Accounts benutzt, mit denen man von aussen connecten darf, sollte es also keine wirkliche Bedrohung sein. Ich habe das eigentlich jeden Tag mindestens einmal, oft von irgendwelchen fernöstlichen IPs. Der bei Dir anklofende Rechner kam ja eher irgendwo aus Dallas/USA.
Lösungsmöglichkeiten: 1. Du könntest den Port Deines sshd verstellen, dann fallen schon mal 99% aller Automatisierten Einbruchsversuche fort. 2. Für Debian gibt es ein Paket namens fail2ban, welches einstellbar nach $x schiefgegangenen Zugriffsversuchen die IP über iptables für einen gewisssen Zeitraum sperrt. 3. Leb damit
Ich hab mich für 2. entschieden
HTH
Robert
Am Mittwoch, 20. September 2006 15:12 schrieb Robert Müller:
- Für Debian gibt es ein Paket namens fail2ban, welches einstellbar nach
$x schiefgegangenen Zugriffsversuchen die IP über iptables für einen gewisssen Zeitraum sperrt.
Danke für die Info.
Robert
Bernhard
PS für Freunde der Kommandozeile: gw1:~# cat /var/log/auth.log | grep Illegal | cut -d " " -f 8 | uniq | sort | less
oder auch
gw1:~# cat /var/log/auth.log | grep Illegal | cut -d " " -f 8 | uniq | sort | wc -l 340
(3 Tage)
On Wed, Sep 20, 2006 at 03:42:40PM +0200, Bernhard Schiffner wrote:
gw1:~# cat /var/log/auth.log | grep Illegal | cut -d " " -f 8 | uniq | sort | wc -l
Tststs, das beruecksichtigt aber nicht, dass zwei Leute parallel Accounts durchprobieren, da hilft auch uniq nicht (ist kein akademisches Beispiel :)).
Ulf
Am Donnerstag, 21. September 2006 02:40 schrieb Ulf Lorenz:
On Wed, Sep 20, 2006 at 03:42:40PM +0200, Bernhard Schiffner wrote:
gw1:~# cat /var/log/auth.log | grep Illegal | cut -d " " -f 8 | uniq | sort | wc -l
Tststs, das beruecksichtigt aber nicht, dass zwei Leute parallel Accounts durchprobieren, da hilft auch uniq nicht (ist kein akademisches Beispiel :)).
Ulf
Das ist nur ein kleiner Spaß, um zu zählen wieviel unterschiedliche (uniq) Namen für einen "Einbruchversuch" verwendet werden.
(Vieleicht hilft das werdenden Müttern & Vätern weiter.)
Bernhard
Alle 04:32, giovedì, 21. settembre 2006, Bernhard Schiffner ha scritto:
Das ist nur ein kleiner Spaß, um zu zählen wieviel unterschiedliche (uniq) Namen für einen "Einbruchversuch" verwendet werden.
Und zum Glück ist Torsten in einen anderen Thread „verwickelt” und kann diesmal nicht den useless-use-of-cat-award verleihen.
SCNRend in den Urlaub fahrend, Josef
Hallo Josef,
On 9/21/06, Josef Spillner 2005@kuarepoti-dju.net wrote:
Und zum Glück ist Torsten in einen anderen Thread „verwickelt" und kann diesmal nicht den useless-use-of-cat-award verleihen.
stimmt und dabei ist nicht nur cat, sondern auch sort völlig überflüssig. Ein sehr schönes Beispiel für den Award. :)
Viele Grüße, Torsten
Am Donnerstag, 21. September 2006 10:36 schrieb Torsten Werner:
Hallo Josef,
On 9/21/06, Josef Spillner 2005@kuarepoti-dju.net wrote:
Und zum Glück ist Torsten in einen anderen Thread „verwickelt" und kann diesmal nicht den useless-use-of-cat-award verleihen.
stimmt und dabei ist nicht nur cat, sondern auch sort völlig überflüssig. Ein sehr schönes Beispiel für den Award. :)
Viele Grüße, Torsten
Das useless cat hat (bash-)history-Günde: 1.) Was steht in auth.log (cat) 2.) aha, suche Illegal (grep) 3.) extrahiere alle User-Namen (cut) 4.) Zusammenfassung bitte (uniq) 5.) nun der Reihe nach anzeigen (sort) 6a.) ich will blättern können (less) 6b.) wieviele sind's denn (wc)
Da ich mich schrittweise herantaste, bleiben halt cat und auch sort vor wc stehen.
Bernhard
Am Donnerstag, 21. September 2006 11:05 schrieb Bernhard Schiffner:
3.) extrahiere alle User-Namen (cut) 4.) Zusammenfassung bitte (uniq) 5.) nun der Reihe nach anzeigen (sort)
müßte es nicht andersherum erst 'sort' und dann 'uniq' sein? 'uniq' faßt doch nur die *aufeinanderfolgenden* gleichen Zeilen zusammen, oder?
Und noch ein bißchen kleinlich: 'sort' tut nicht der Reihe nach anzeigen sondern sortiert -- das ist zwar auch eine Reihe, aber beim Auftreten von Ereignissen versteht man unter "der Reihe nach" eher die zeitliche Abfolge und die bringt 'sort' nun gerade völlig durcheinander ...
Uwe
Am Donnerstag, 21. September 2006 11:45 schrieb Uwe Koloska:
Am Donnerstag, 21. September 2006 11:05 schrieb Bernhard Schiffner:
3.) extrahiere alle User-Namen (cut) 4.) Zusammenfassung bitte (uniq) 5.) nun der Reihe nach anzeigen (sort)
müßte es nicht andersherum erst 'sort' und dann 'uniq' sein? 'uniq' faßt doch nur die *aufeinanderfolgenden* gleichen Zeilen zusammen, oder?
kein oder, hast recht ...
Bernhard
On 9/21/06, Bernhard Schiffner bernhard@schiffner-limbach.de wrote:
kein oder, hast recht ...
Das kommt darauf an, ob die unsortierte oder sortierte Zeilen auf Eindeutigkeit prüfen willst. Bei letzterem brauchst du sort, aber selbst dann kannst du mit
sort -u
dir das uniq sparen. Also entweder sort oder uniq: eins ist auf jeden Fall überflüssig.
Viele Grüße, Torsten
Am Mittwoch, 20. September 2006 14:33 schrieb Tietz, Andre:
Hi LUG
Ich würde mal gern wissen, von was (welches Programm) in /var/log/messages schreibt?
Nach was sieht das für euch aus, es steht in /var/log/messages
-- Sep 18 02:40:20 unicate sshd[17156]: Did not receive identification string from UNKNOWN Sep 18 02:45:13 unicate sshd[17162]: Failed password for root from 70.86.146.130
Ich gehe mal von aus, daß Du dieser Rechner im Internet steht. Da kommen diese Bots immer mal wieder vorbei, um mit Ausprobieren von Passwörtern zu versuchen, sich unberechtigt Eintritt zu verschaffen.
Da root verständlicherweise ein bevorzugtes Ziel ist, solltest Du die Möglichkeit, sich per ssh als root zu verbinden, unterbinden (man /etc/ssh/sshd_config ==> AllowGroups/AllowUsers) und die Passwörter der erlaubten Nutzer nicht zu einfach wählen. In hartnäckigen Fällen hilft auch ein Ausschluß der Subnetze, die immer wieder negativ auffallen und deren Zugriff nicht von Nöten ist, per iptables.
Also der 18. war einen Montag. Da ich Dienstag früh raus musste, kann ich das nicht gewesen sein, weil ich im Bett lag ^^ Wer hat hier was versucht?
Schauen wir mal: whois 70.86.146.130 OrgName: ThePlanet.com Internet Services, Inc. OrgID: TPCM Address: 1333 North Stemmons Freeway Address: Suite 110 City: Dallas StateProv: TX PostalCode: 75207 Country: US
-- A .Tietz
Am Mittwoch, 20. September 2006 14:33 schrieb Tietz, Andre:
Hi LUG
Ich würde mal gern wissen, von was (welches Programm) in /var/log/messages schreibt?
Nach was sieht das für euch aus, es steht in /var/log/messages
-- Sep 18 02:40:20 unicate sshd[17156]: Did not receive identification string from UNKNOWN Sep 18 02:45:13 unicate sshd[17162]: Failed password for root from 70.86.146.130 port 50648 ssh2 Sep 18 02:45:16 unicate sshd[17166]: Failed password for root from 70.86.146.130 port 53165 ssh2 Sep 18 02:45:18 unicate sshd[17170]: Failed password for root from 70.86.146.130 port 54478 ssh2 Sep 18 02:45:21 unicate sshd[17174]: Failed password for root from 70.86.146.130 port 56222 ssh2 Sep 18 02:45:24 unicate sshd[17178]: Failed password for root from 70.86.146.130 port 57852 ssh2 Sep 18 02:45:26 unicate sshd[17182]: Failed password for root from 70.86.146.130 port 59093 ssh2 Sep 18 02:45:36 unicate sshd[17186]: Failed password for root from 70.86.146.130 port 59949 ssh2
Also der 18. war einen Montag. Da ich Dienstag früh raus musste, kann ich das nicht gewesen sein, weil ich im Bett lag ^^ Wer hat hier was versucht? -- A .Tietz
Das wurde vom sshd geschrieben, ähnliches findest Du auch in /var/log/auth.log. $JEMAND (höchstvermutlich ein Script) hat versucht, bei Dir zu connecten und per brute Force Dein root PW zu knacken.
Da man ja sowieso in /etc/ssh/sshd_config "PermitRootLogin no" drinne stehen haben sollte und anständige Passwörter für die Accounts benutzt, mit denen man von aussen connecten darf, sollte es also keine wirkliche Bedrohung sein. Ich habe das eigentlich jeden Tag mindestens einmal, oft von irgendwelchen fernöstlichen IPs. Der bei Dir anklofende Rechner kam ja eher irgendwo aus Dallas/USA.
Lösungsmöglichkeiten: 1. Du könntest den Port Deines sshd verstellen, dann fallen schon mal 99% aller Automatisierten Einbruchsversuche fort. 2. Für Debian gibt es ein Paket namens fail2ban, welches einstellbar nach $x schiefgegangenen Zugriffsversuchen die IP über iptables für einen gewisssen Zeitraum sperrt. 3. Leb damit
Ich hab mich für 2. entschieden
HTH
Robert
lug-dd@mailman.schlittermann.de
-
André Schulze -
Bernhard Schiffner -
Christian Perle -
Eric-Alexander Schaefer -
Folke Karlsson -
Hilmar Preusse -
Josef Spillner -
Lutz Memmler -
Robert Müller -
Sebastian Hegler -
Tietz, Andre -
Torsten Werner -
Ulf Lorenz -
Uwe Koloska -
William Epler