Einbruchsversuche auf meinem vServer

  • Ersteller Gelöschtes Mitglied 141048
  • Erstellt am
G

Gelöschtes Mitglied 141048

Guest
Guten Tag :)
ich habe gestern mal einen Blick in meine auth.log geworfen.
Irgendwelche Kotnascher versuchen mehrmals pro Sekunde sich mit dem user root anzumelden.
Ist das ein normales Phänomen?
Code: 
Jan 12 01:49:08 localhost sshd[30781]: Address 94.**.***.*** maps to hosted-by.leaseweb.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Jan 12 01:49:08 localhost sshd[30781]: Invalid user a from 94.**.***.***
Jan 12 01:49:08 localhost sshd[30781]: input_userauth_request: invalid user a [preauth]
Jan 12 01:49:08 localhost sshd[30781]: pam_unix(sshd:auth): check pass; user unknown
Jan 12 01:49:08 localhost sshd[30781]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=94.**.***.*** 
Jan 12 01:49:10 localhost sshd[30781]: Failed password for invalid user a from 94.**.***.*** port 36240 ssh2
Jan 12 01:49:10 localhost sshd[30781]: Received disconnect from 94.**.***.***: 11: Bye Bye [preauth]
Jan 12 01:49:10 localhost sshd[30783]: error: Could not load host key: /etc/ssh/ssh_host_ecdsa_key
Jan 12 01:49:10 localhost sshd[30783]: Address 94.**.***.*** maps to hosted-by.leaseweb.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Jan 12 01:49:10 localhost sshd[30783]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=94.**.***.***  user=root
Jan 12 01:49:13 localhost sshd[30783]: Failed password for root from 94.**.***.*** port 37287 ssh2
Jan 12 01:49:13 localhost sshd[30783]: Received disconnect from 94.**.***.***: 11: Bye Bye [preauth]
Jan 12 01:49:13 localhost sshd[30785]: error: Could not load host key: /etc/ssh/ssh_host_ecdsa_key
Jan 12 01:49:13 localhost sshd[30785]: Address 94.**.***.*** maps to hosted-by.leaseweb.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Jan 12 01:49:13 localhost sshd[30785]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=94.**.***.***  user=root

Grüße mieper
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Heftig. Hab die mal ausgesperrt. Ist der Wahnsinn :)
 
Hallo mieper,

Das ist völlig normal... leider. Wie schon von OpamitKruecke erkannt, handelt es sich hierbei um einen Brute Force Angriff. Hierbei versucht sich ein Bot mit einer liste an Passwörtern bei dir anzumelden. Bei einem sicheren Passwort ist das zu vernachlässigen.

Dennoch würde ich folgendes unternehmen:

Je nach Distribution solltest du das Paket "fail2ban" installieren. zB. "apt-get install fail2ban" ... Es sperrt nach 5 Fehlversuchen die IP adresse erstmals 60min und danach immer länger.
und/oder SSH von Port 22 auf einen anderen Port legen.

Und natürlich das OS immer aktuell halten ;)

mfg mogel
 
xmogelx schrieb:
Hallo mieper,

Das ist völlig normal... leider. Wie schon von OpamitKruecke erkannt, handelt es sich hierbei um einen Brute Force Angriff. Hierbei versucht sich ein Bot mit einer liste an Passwörtern bei dir anzumelden. Bei einem sicheren Passwort ist das zu vernachlässigen.

Dennoch würde ich folgendes unternehmen:

Je nach Distribution solltest du das Paket "fail2ban" installieren. zB. "apt-get install fail2ban" ... Es sperrt nach 5 Fehlversuchen die IP adresse erstmals 60min und danach immer länger.
und/oder SSH von Port 22 auf einen anderen Port legen.

Und natürlich das OS immer aktuell halten ;)

mfg mogel
Zum Vergrößern anklicken....

Hi :)
Als OS läuft bei mir Ubuntu 12.04 LTS. Werfe mal fail2ban drauf. Danke für den Tipp.
 
Musste schmunzeln beim lesen des Threadtitels. :d
Das ist ganz üblich wenn man SSH auf dem Standardport laufen hat, ich stelle den SSH-Port daher immer um, das reduziert schon mal die Botzugriffsversuche um 50%.
Zusätzlich zu oder statt fail2ban kannst du denyhosts installieren, das lädt automatisch Blocklists runter mit IPs bekannter Bots und blockt nicht erst wie fail2ban wenn etwas bei dir lokal geschehen ist.
 
Zuletzt bearbeitet:
Ich weiß garnicht was das soll, deaktiviert den Passwortlogin.
Ist eh viel zu unsicher wenn man nicht gerade ein ellenlanges Passwort nimmt und reduziert die Anzahl der Bruteforcattacken auch auf 0.

Keyfile und gut.
 
Hallo :)
ich habe täglich mehrere solcher Angriffe. Das ist durchaus üblich und deshalb ist Fail2Ban schon einmal ein guter Ansatz. Zusätzlich solltest du, falls noch nicht geschehen, den root-User vom SSH-Login ausschließen. Das geht ganz einfach:

/etc/ssh/sshd_config
-> PermitRootLogin no
/etc/init.d/ssh reload

Somit können sich nur noch andere User anmelden und dann via su/sudo arbeiten.

Liebe Grüße
 
Das ist wie bereits erwähnt völlig normal und sollte im Rauschen des Internets untergehen

Ändere in der /etc/ssh/sshd_config den Port z.B. auf 1234.
Dann den RootLogin verbieten wie von Spintus90 erwähnt.

Solltest du noch mehr Sicherheit wollen dann könntest du auch einen Public Key generieren.
Lies zu dem Thema hier ein wenig
OpenSSH Public Key Authentifizierung unter Ubuntu
 
Sicher ist ein unwort bei allem, was 7/24 über die gleiche IP erreichbar ist......

Klar kann man *ix Systeme recht gut sichern ... auch mit Boardmitteln, allerdings gibt es immer angreifbare Stellen

Ich würde NIE Privates (was ich nicht öffentlich zeigen mag) auf einem Webserver/ner Cloud benutzen ... das liegt fein und sauber hier an einem Notebook ohne jede Netzwerkverbindung (auch kein Wlan) und wird bei Bedarf per Truecrypt USB Stick auf den anderen PC übertragen (klar sind nur sehr wenige Sachen, da 98% der anfallenden täglichen Sachen eh kaum interessant sind)

Alles was bei mir "online" steht ist für mich "free to read" .... klar schütze ich da auch Sachen gegen 0815 Zugriff, aber ich rechen bei Allem damit, dass es jemand mal liest.

Knackpunkte sind Dinge wie Paypal oder Online-Banking, ohne die gehts leider nicht mehr .... darum hab ich dafür nen kleinen PC (alter Coreduo 5200) mit Tails Linux (debian based) ... ist aber auch nicht 100% secure (dafür hab ich für Paypal und Onlinebanking eingerichtet bei jeder Transaktion ne SMS zu bekommen)
 
Zuletzt bearbeitet:
Naja dafür gibt es VPN und Firewalls. Und Geheimdienste knacken, wenn sie wollen, mit genug Zeit die meisten Verbindungen. Aber da bin ich lieber etwas komfortabler und sperr nur 99,9 % der hacker aus ;)
 
Bevor ihr solche Ratschläge mit "Rootlogin via SSH deaktivieren" gebt solltet ihr den Hinweis geben dass man erst mal einen User haben muss er zum su zu Root berechtigt ist. Das ist nämlich nicht auf allen Distributionen standardmäßig der Fall. Im schlimmsten Fall setzt der Threadersteller dann euren Ratschlag blind um und sperrt sich dann damit selbst aus. Gerade Anfänger wissen sich dann überhaupt nicht zu helfen. Gut, Rescuesystem starten und dort den Fehler beheben. Aber muss ja nicht sein.

Login mit Keyfiles wäre natürlich auch zu empfehlen, ich logge mich ausschließlich mit meinem Private-Key ein, wäre ansonsten eine Qual sich hunderte Passwörter merken zu müssen. ;)
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh