Hallo,
seit gestern Morgen habe ich so einige "Ungereimheiten" in der "auth.log":
Wenn ich den Hostnamen im FF aufrufe, erscheint eine Seite von " HaCkeD By H4KurD-TeaM " das der Server gehackt wurde.
In dieser Liste taucht der Hostname auch auf:
http://stats.denyhosts.net/stats.html
Wirklich verwundert bin ich nicht, im gegenteil: Mich hat es bisher gewundert, das dies bisher nicht passiert ist.
Aber: Wie kann ich das "sinnvoll" unterbinden?
Sollte ich von http://stats.denyhosts.net/stats.html alles übernehmen und eintragen?
Habt ihr vielleicht noch ein paar Tipps um SSH Sinnvoll abzusichern?
Und wie kann ich solche Bots auf meinem Server aufdecken? Angenommen, der root Zugriff wäre im gelungen und er hätte ein Script installiert welches jetzt das Netz durchcrawlt.
Da ich eher unregelmäßig in die Logs gucke, wäre etwas automatisches echt gut!
Vielen Dank!
seit gestern Morgen habe ich so einige "Ungereimheiten" in der "auth.log":
Dec 25 08:39:38 server sshd[31795]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=--rausgenommen--
Dec 25 08:39:40 server sshd[31795]: Failed password for invalid user nagios from --rausgenommen-- port 35843 ssh2
Dec 25 08:39:40 server sshd[31841]: error opening /proc/self/oom_adj: No such file or directory
Dec 25 08:39:40 server sshd[31841]: error opening /proc/self/oom_adj: No such file or directory
Wenn ich den Hostnamen im FF aufrufe, erscheint eine Seite von " HaCkeD By H4KurD-TeaM " das der Server gehackt wurde.
In dieser Liste taucht der Hostname auch auf:
http://stats.denyhosts.net/stats.html
Wirklich verwundert bin ich nicht, im gegenteil: Mich hat es bisher gewundert, das dies bisher nicht passiert ist.
Aber: Wie kann ich das "sinnvoll" unterbinden?
Sollte ich von http://stats.denyhosts.net/stats.html alles übernehmen und eintragen?
Habt ihr vielleicht noch ein paar Tipps um SSH Sinnvoll abzusichern?
Und wie kann ich solche Bots auf meinem Server aufdecken? Angenommen, der root Zugriff wäre im gelungen und er hätte ein Script installiert welches jetzt das Netz durchcrawlt.
Da ich eher unregelmäßig in die Logs gucke, wäre etwas automatisches echt gut!
Vielen Dank!
Last edited by a moderator: