Einbruchsversuch auf meinem Server

SteelyDan

SteelyDan

Enthusiast
Thread Starter
Mitglied seit
15.08.2006
Beiträge
571
Ort
bei Stuttgart
Hi Freunde der freien Betriebssysteme :d

Offensichtlich hat heute jemand versucht per ssh auf meinen server zu kommen. Hier ein Ausschnitt aus /var/log/messages : ("meinserver" habe ich verändert, alles andere ist Original):

Code: 
...
Apr  5 13:09:05 src@meinserver sshd[19176]: Invalid user closas from 200.31.26.165
Apr  5 13:09:07 src@meinserver sshd[19180]: Invalid user factoria from 200.31.26.165
Apr  5 13:09:09 src@meinserver sshd[19184]: Invalid user miguel from 200.31.26.165
Apr  5 13:09:12 src@meinserver sshd[19188]: Invalid user huercal from 200.31.26.165
Apr  5 13:09:14 src@meinserver sshd[19192]: Invalid user elisa from 200.31.26.165
Apr  5 13:09:16 src@meinserver sshd[19196]: Invalid user eliza from 200.31.26.165
Apr  5 13:09:18 src@meinserver sshd[19200]: Invalid user jboss from 200.31.26.165
Apr  5 13:09:21 src@meinserver sshd[19204]: Invalid user boss from 200.31.26.165
Apr  5 13:09:23 src@meinserver sshd[19208]: Invalid user kate from 200.31.26.165
Apr  5 13:09:25 src@meinserver sshd[19212]: Invalid user linuxtester2 from 200.31.26.165
Apr  5 13:09:27 src@meinserver sshd[19216]: Invalid user linuxtester from 200.31.26.165
Apr  5 13:09:29 src@meinserver sshd[19220]: Invalid user linuxtest from 200.31.26.165
Apr  5 13:09:32 src@meinserver sshd[19224]: Invalid user test from 200.31.26.165
Apr  5 13:09:34 src@meinserver sshd[19228]: Invalid user test from 200.31.26.165
Apr  5 13:09:36 src@meinserver sshd[19233]: Invalid user admissions from 200.31.26.165
Apr  5 13:09:38 src@meinserver sshd[19237]: Invalid user lebedev from 200.31.26.165
Apr  5 13:09:41 src@meinserver sshd[19241]: Invalid user dave from 200.31.26.165
Apr  5 13:09:43 src@meinserver sshd[19245]: Invalid user ted from 200.31.26.165
Apr  5 13:09:45 src@meinserver sshd[19251]: Invalid user ludovic from 200.31.26.165
Apr  5 13:09:47 src@meinserver sshd[19261]: Invalid user poczta from 200.31.26.165
Apr  5 13:09:49 src@meinserver sshd[19265]: Invalid user sybase from 200.31.26.165
Apr  5 13:09:52 src@meinserver sshd[19269]: Invalid user eric from 200.31.26.165
Apr  5 13:09:54 src@meinserver sshd[19279]: Invalid user carlos from 200.31.26.165
...

Das ist nur ein kleiner Ausschnit aus der Log-Datei. Ich habe es zufällig bemerkt, weil mein switch blinkte wie verrückt.

Was kann ich tun, ausser sichere Passwörter zu verwenden, um so etwas zu verhindern/rechtzeitig zu bemerken o.ä. Er (Sie?) hat erstmal offensichtliche usernamen ausprobiert. Ob sowas schon öfter bei mir vorgekommen ist, weiss ich nicht.

Ich hoffe Ihr habt ein paar Tipps für mich!

Gruß,
dan
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hi!

Sowas ist ganz normal, passiert so ziemlich auf jedem Server im Netz.
Einfach "root" verbieten und deine Passworte gut für die User wählen (Groß- & Kleinschreibung, Zahlen, mehr als 10 Zeichen...).

Viele Grüße
André
 
Du kannst den SSH Zugang einschränken auf vordefinierte Schlüssel. Dann sollte niemand ausser die von dir explizit Erlaubten reinkommen.
Muss der Server übers Inet erreichbar sein?
 
ich hab zb meinen ssh-zugang auf port 119 gelegt :fresse: damit entgeht man schon "dummen" programmen. na gut, jetzt weiss es jeder :fresse:

gruß
hostile

ps: kleine korrektur. ich hab den port beim server auf 22 belassen und die port 119 von dem internet-router auf 22 geroutet/gepatet whatever.
 
Zuletzt bearbeitet:
nö, ist nicht gelogen. versuch's doch host: hostile.dyndns.info

viel spass.

gruß
hostile
 
benutzer und passwort wären auch noch nett :fresse:

@topic:
hätte da noch eine andere Idee, du holst dir einen Linksys WRT54GL-Router, installierst da Linux und gibts nur dort SSH im Internet frei und dann musst du wenn du dich eingeloogt hast nochmals per ssh auf deinen Heim-Server connecten :d
der Server müsste dann auch nicht immer laufen da du ihn per Wake-On-Lan im Webinterface oder auch per ssh starten könntest

mfg
aelo

edit
also putty connected auf port 119 :fresse:
allerdings komm ich nicht bis zur benutzerabfrage
naja egal, wozu auch :d
konnte trotzdem nicht widerstehen zu probieren ob der Port stimmt :d 8
 
Zuletzt bearbeitet:
@aelo

Code: 
Apr  5 15:05:18 PD930 sshd[16519]: Did not receive identification string from *********

gruß
hostile

ps. uhr geht immer noch falsch :fresse:
 
Zuletzt bearbeitet:
@topic:
lies das mal durch:
https://help.ubuntu.com/community/SinglePacketAuthorization
klingt zumindest super

@hostile:
fallst auch mal auf meinen server willst ;P sorry
meine Systemplatte ist seit letzten Freitag kapput und ich hab noch keine neue :(

mfg
aelo

edit:
@hostile:
xD jetzt kennt ja jeder meine IP ;P (hab ne static, please rauslöschen :( )

installier dir rdate
und schreib dann in nen autorunfile
rdate ptbtime1.ptb.de
dann wird die Zeit be jeden Systemstart neu syncronisiert
 
Zuletzt bearbeitet:
hab's gelöscht. weiss aber nicht was daran so schlimm gewesen wäre... naja, egal...

danke für den tipp...

gruß
hostile
 
Also es gibt Tools, die solche Versuche erkennen und dann die IP fuer gewisse Zeit sperren.
ZB. koenntest du Swatch probieren, aber wie gesagt, es gibt verschiedene Tools, mit denen man das Problem angehen kann.
Einfach mal Google bemuehen.
 
Ne andere Methode wäre noch Port-Knocking. Es gab mal in der C't nen Bericht.

gruß
hostile
 
fail2ban ist klasse, falls es hier noch nicht erwähnt wurde ...
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh