Angriff?

[Ufisch]

Hallo,

ich weiß nicht ob ich hier richtig Bin.

Jedenfalls hatte mein Server grad ne sehr hohe Auslastung und da habe ich mich mal in den logs umgeschaut.

in der var/log/messages steht folgendes:

Sep 30 16:26:17 eve sshd(pam_unix)[1584]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ipx14284.ipxserver.de user=root
Sep 30 16:26:20 eve sshd(pam_unix)[1591]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ipx14284.ipxserver.de user=root
Sep 30 16:26:22 eve sshd(pam_unix)[1598]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ipx14284.ipxserver.de user=root
Sep 30 16:26:25 eve sshd(pam_unix)[1605]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ipx14284.ipxserver.de user=root
Sep 30 16:26:27 eve sshd(pam_unix)[1610]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ipx14284.ipxserver.de user=root
Sep 30 16:26:30 eve sshd(pam_unix)[1614]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ipx14284.ipxserver.de user=root
Sep 30 16:26:32 eve sshd(pam_unix)[1619]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ipx14284.ipxserver.de user=root
Sep 30 16:26:35 eve sshd(pam_unix)[1630]: check pass; user unknown
Sep 30 16:26:35 eve sshd(pam_unix)[1630]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ipx14284.ipxserver.de
Sep 30 16:26:37 eve sshd(pam_unix)[1639]: check pass; user unknown
Sep 30 16:26:37 eve sshd(pam_unix)[1639]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ipx14284.ipxserver.de
Sep 30 16:26:40 eve sshd(pam_unix)[1661]: check pass; user unknown
Sep 30 16:26:40 eve sshd(pam_unix)[1661]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ipx14284.ipxserver.de
Sep 30 16:26:42 eve sshd(pam_unix)[1716]: check pass; user unknown
Sep 30 16:26:42 eve sshd(pam_unix)[1716]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ipx14284.ipxserver.de

Und davon noch viel mehr.
In der var/log/secure steht folgendes:

Sep 30 16:32:25 eve sshd[2836]: Failed password for invalid user daniel from ::ffff:80.190.240.73 port 43650 ssh2
Sep 30 16:32:25 eve sshd[2842]: Invalid user william from ::ffff:80.190.240.73
Sep 30 16:32:27 eve sshd[2842]: Failed password for invalid user william from ::ffff:80.190.240.73 port 43725 ssh2
Sep 30 16:32:28 eve sshd[2851]: Invalid user anthony from ::ffff:80.190.240.73
Sep 30 16:32:30 eve sshd[2851]: Failed password for invalid user anthony from ::ffff:80.190.240.73 port 43799 ssh2
Sep 30 16:32:30 eve sshd[2863]: Invalid user cameron from ::ffff:80.190.240.73
Sep 30 16:32:33 eve sshd[2863]: Failed password for invalid user cameron from ::ffff:80.190.240.73 port 43873 ssh2
Sep 30 16:32:33 eve sshd[2873]: Invalid user james from ::ffff:80.190.240.73
Sep 30 16:32:35 eve sshd[2873]: Failed password for invalid user james from ::ffff:80.190.240.73 port 43942 ssh2
Sep 30 16:32:35 eve sshd[2882]: Invalid user austin from ::ffff:80.190.240.73
Sep 30 16:32:38 eve sshd[2882]: Failed password for invalid user austin from ::ffff:80.190.240.73 port 44017 ssh2
Sep 30 16:32:38 eve sshd[2886]: Invalid user jackson from ::ffff:80.190.240.73
Sep 30 16:32:40 eve sshd[2886]: Failed password for invalid user jackson from ::ffff:80.190.240.73 port 44092 ssh2
Sep 30 16:32:40 eve sshd[2892]: Invalid user justin from ::ffff:80.190.240.73
Sep 30 16:32:43 eve sshd[2892]: Failed password for invalid user justin from ::ffff:80.190.240.73 port 44165 ssh2
Sep 30 16:32:43 eve sshd[2895]: Invalid user brandon from ::ffff:80.190.240.73
Sep 30 16:32:45 eve sshd[2895]: Failed password for invalid user brandon from ::ffff:80.190.240.73 port 44241 ssh2
Sep 30 16:32:45 eve sshd[2900]: Invalid user john from ::ffff:80.190.240.73
Sep 30 16:32:48 eve sshd[2900]: Failed password for invalid user john from ::ffff:80.190.240.73 port 44314 ssh2

Deutet das auf einen Angriff hin? Nach meinem Gefühl ja.

LG Ufisch

 

[LinuxAdmin]

Deutet das auf einen Angriff hin? Nach meinem Gefühl ja.

Wie man es nimmt. Es gibt halt Leute ("script kiddies"), die das Netz systematisch nach offenen ssh-Ports absuchen und dabei Standard-Passworte ausprobieren.

Wenn Du sichere Passworte hast, stellt das kein Problem dar. Wenn es Dich nervt such mal hier im Forum nach "ssh-Port verlegen"

Viele Grüße,
LinuxAdmin

 

[marneus]

Och, das ist ganz normales Hintergrundrauschen. Verlege Dein SSH-Port. Hier im Board findest Du div. Tutorials, wie das von statten geht.

 

[Ufisch]

also jedenfalls hatte die CPU einen durchschnittlichen Reload von über 0.40 und teilweise über 0.80

Beim Passwort mache ich mir keine Sorgen. Das besteht aus 12 Zeichen und zahlen.

Und wegen Portverlegung: Werde ich mir mal anschauen.

 

[Briese]

Oder schau Dir mal @ denyhosts an !

 

[Ufisch]

Ok, danke. Schaue ich mir mal in Ruhe an. Gibt es dazu auch was deutschsprachiges?

Ich hätte aber mal ne allgemeine Frage, wobei diese wahrscheinlich schonmal gefragt wurde. Wie kann ich denn allgemein am schnellsten erkennen dass versucht wird mein Server zu hacken? Klar, die Logfiles sind schonmal wichtig. Aber welche? also secure is ja für ssh.

Noch ne Frage zu ssh. Standardname ist ja root. Ist es sinnvoll den ebenfalls zu ändern? oder geht das nicht?

Bei meinem alten vServer konnte ich auch noch ssh ganz einfach über virutozzo deaktivieren, das geht jetzt leider nicht mehr.

 

[Ufisch]

Was hat eigentlich folgendes zu bedeuten?

Sep 30 20:25:39 eve xinetd[1953]: START: smtp pid=4578 from=195.58.247.29
Sep 30 20:28:16 eve xinetd[1953]: START: smtp pid=5191 from=87.106.70.61
Sep 30 20:28:40 eve xinetd[1953]: START: ftp pid=5235 from=196.22.217.22
Sep 30 20:28:42 eve xinetd[1953]: START: ftp pid=5244 from=196.22.217.22
Sep 30 20:44:55 eve xinetd[1953]: START: smtp pid=6504 from=91.76.255.129
Sep 30 20:47:13 eve xinetd[1953]: START: smtp pid=6663 from=62.27.34.5
Sep 30 20:48:39 eve xinetd[1953]: START: smtp pid=6777 from=88.198.57.233

 

[marneus]

STMP = Simple Mail Transfer Protocol, Verbindungsaufbau durch die dahinter genannte IP.

FTP = File Transfer Protocol, Verbindungsaufbau durch die dahinter genannte IP.

 

[Ufisch]

STMP = Simple Mail Transfer Protocol, Verbindungsaufbau durch die dahinter genannte IP.

FTP = File Transfer Protocol, Verbindungsaufbau durch die dahinter genannte IP.

ja, was das ist ist mir klar. Wenn ich das nicht wüsste... na dann gn8 *g*
Nur die IPs kommen z.B. aus der USA oder Russland. Niemand auf meinem Server ist dort. Sowieso habe ich ja nicht viel mehr außer meine Sachen drauf. Könnte das auch durch nen Proxy sein?

Und muss ich mir über sowas Sorgen machen? IP ist aus Afrika:

Sep 30 20:28:40 eve proftpd[5235]: eve.ufisch.eu (196.22.217.22[196.22.217.22]) - FTP session opened.
Sep 30 20:28:40 eve proftpd[5235]: eve.ufisch.eu (196.22.217.22[196.22.217.22]) - FTP session closed.
Sep 30 20:28:42 eve proftpd[5244]: eve.ufisch.eu (196.22.217.22[196.22.217.22]) - FTP session opened.
Sep 30 20:28:42 eve proftpd[5244]: eve.ufisch.eu (196.22.217.22[196.22.217.22]) - FTP session closed.

werden eigentlich irgendwo noch mehr Infos über die FTP-Sessions erstellt?

Sorry für die ganzen Fragen, aber mir ist das grad wichtig.

 

[marneus]

Nein, das ist alles nicht weiter dramatisch. Versuchen auf Deinen FTP zu connecten. Entweder um zu schauen, ob er up ist oder evtl. um via FTP auf Deinen Server zu kommen.

 

[Spin-Doc]

Noch ne Frage zu ssh. Standardname ist ja root. Ist es sinnvoll den ebenfalls zu ändern? oder geht das nicht?

Du kannst den Login für root verbieten und als normaler User arbeiten. Aufgaben die root Rechte erfordern kannst du dann mittels su oder sudo erledigen.

Server:Sicherheit:SSH Zugang für root verweigern - Server Wiki

 

[Ufisch]

Dankeschön, werde ich mir mal anschauen.