H E L P !!! Versucht mich jm. zu hacken ????

[Lord_Icon]

aus dem Pfad /var/log/messages folgende beunruhigende Einträge

Jun  9 19:19:44 www sshd[28457]: Invalid user diane from 217.141.109.141
Jun  9 19:19:45 www sshd[29707]: Invalid user emily from 217.141.109.141
Jun  9 19:19:46 www sshd[29790]: Invalid user jackson from 217.141.109.141
Jun  9 19:19:47 www sshd[29899]: Invalid user rhonda from 217.141.109.141
Jun  9 19:19:48 www sshd[29962]: Invalid user sandy from 217.141.109.141
Jun  9 19:19:49 www sshd[30055]: Invalid user blackwell from 217.141.109.141
Jun  9 19:19:53 www sshd[30487]: Invalid user jim from 217.141.109.141
Jun  9 19:19:54 www sshd[30555]: Invalid user helene from 217.141.109.141
Jun  9 19:19:56 www sshd[30661]: Invalid user gary from 217.141.109.141
Jun  9 19:20:00 www sshd[32179]: Invalid user chandler from 217.141.109.141
Jun  9 19:20:01 www /usr/sbin/cron[32381]: (root) CMD (/root/kundensystem/ks_start.php >/dev/null 2>&1)
Jun  9 19:20:09 www sshd[32309]: Invalid user kerr from 217.141.109.141
Jun  9 19:20:12 www sshd[3203]: Invalid user steve from 217.141.109.141
Jun  9 19:20:14 www sshd[3903]: Invalid user janet from 217.141.109.141
Jun  9 19:20:17 www sshd[5207]: Invalid user brenda from 217.141.109.141
Jun  9 19:20:24 www sshd[5604]: Invalid user jacobs from 217.141.109.141
Jun  9 19:20:26 www sshd[7576]: Invalid user teresa from 217.141.109.141
Jun  9 19:20:28 www sshd[7865]: Invalid user wilson from 217.141.109.141
Jun  9 19:20:30 www sshd[8105]: Invalid user laurie from 217.141.109.141
Jun  9 19:20:32 www sshd[9335]: Invalid user chappell from 217.141.109.141
Jun  9 19:20:33 www sshd[9624]: Invalid user cathy from 217.141.109.141
Jun  9 19:20:35 www sshd[9881]: Invalid user willie from 217.141.109.141
Jun  9 19:20:37 www sshd[10130]: Invalid user leonard from 217.141.109.141
Jun  9 19:20:39 www sshd[11311]: Invalid user leo from 217.141.109.141
Jun  9 19:20:41 www sshd[11588]: Invalid user dwayne from 217.141.109.141
Jun  9 19:20:43 www sshd[11767]: Invalid user kevin from 217.141.109.141
Jun  9 19:20:44 www sshd[11970]: Invalid user alfreda from 217.141.109.141
Jun  9 19:20:46 www sshd[12169]: Invalid user karl from 217.141.109.141
Jun  9 19:20:49 www sshd[13394]: Invalid user jones from 217.141.109.141
Jun  9 19:20:51 www sshd[13842]: Invalid user terry from 217.141.109.141
Jun  9 19:20:53 www sshd[14041]: Invalid user chuck from 217.141.109.141
Jun  9 19:20:54 www sshd[14319]: Invalid user carrol from 217.141.109.141
Jun  9 19:20:56 www sshd[15516]: Invalid user ernest from 217.141.109.141
Jun  9 19:20:59 www sshd[15713]: Invalid user stevens from 217.141.109.141
Jun  9 19:21:01 www sshd[16108]: Invalid user donald from 217.141.109.141

Ich will das Forum jetzt nicht zu spammen... aber der obrige Ausschnitt is mal grob geschätz 0,5 % vom dem, was an diesen Tag geloogt wurde... geht über nacht bis zum nächsten Tag rein.. bis ca. 4 uhr

Entsprechend auch der Umfang der messages.log = fast 10 MB !!!

9.6 = viele unterschiedliche User
10.6 von 8:03 - 9:06 versuch mit user : admin (ca. 20 Seiten loggs)
10.6 von 8:06 - 8:10 versuch mit Administrator (nicht ganz so viele, aber 14 seiten sind es trotzdem)



Frage: ICh habe gesehen, bzw. mal im Forum gelesen, das es eine Seite gibt, wo man die IP eingibt und dann so ne art Rückwärtssuche gemacht wird.
Wie heißt diese Seite ??


Ich glaube die Frage, ob ich wirklich gehackt werde (zumindest versucht) brauche ich garnicht erst zu stellen... oder seh ich das Falsch und es wird nur von ein Programm verifiziert ?

 

[V40]

Hallo,

da versucht jemand sich Zugang zu deinem Server zu verschaffen in dem er diverse Benutzernamen und Passwörter durchprobiert.
Allerdings erfolglos!


Meistens wird sowas von einem Script (Script-Kiddies) erledigt.

Ich denke die Seite die du meinst ist http://www.dnsstuff.com
Dort findest du ein IP Whois.

 

[Jeff]

Keine Sorge.. Das ist vollkommen normal. Du solltest deinen SSH Zugang am besten auf einen anderen Port legen und nur noch noch mit SSH-Keys arbeiten..

whois von der ip:

whois 217.141.109.141
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-proposal-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '217.141.109.0 - 217.141.109.255'

inetnum:      217.141.109.0 - 217.141.109.255
netname:      INTERBUSINESS
descr:        Interbusiness infrastructural
descr:        Backbone PtP in Area 0
country:      IT
admin-c:      INAS1-RIPE
tech-c:       INAS1-RIPE
status:       ASSIGNED PA
mnt-by:       INTERB-MNT
source:       RIPE # Filtered

role:           Interbusiness Network Administration Staff
address:        Telecom Italia
address:        Via Paolo di Dono, 44
address:        00142 Roma
address:        Italy
phone:          +39 06 3688 1
admin-c:        DM10018-RIPE
tech-c:         MC4803-RIPE
tech-c:         CC297-RIPE
tech-c:         AS21267-RIPE
tech-c:         RC2468-RIPE
tech-c:         FG82-RIPE
tech-c:         GLM2-RIPE
tech-c:         GP1340-RIPE
tech-c:         AS30532-RIPE
tech-c:         AML88-RIPE
tech-c:         AM1242-RIPE
tech-c:         CF1215-RIPE
tech-c:         LP1779-RIPE
tech-c:         VV727-RIPE
tech-c:         EC1552-RIPE
tech-c:         SS4290-RIPE
nic-hdl:        INAS1-RIPE
abuse-mailbox:  abuse@business.telecomitalia.it
mnt-by:         INTERB-MNT
source:         RIPE # Filtered

% Information related to '217.141.0.0/16AS3269'

route:        217.141.0.0/16
descr:        INTERBUSINESS
origin:       AS3269
remarks:      ************************************************
remarks:      *                Pay attention                 *
remarks:      *   Any communication sent to email different  *
remarks:      *   from the following will be ignored!        *
remarks:      *   Any abuse reports, please send them to     *
remarks:      *       abuse@business.telecomitalia.it        *
remarks:      ************************************************
mnt-by:       INTERB-MNT
source:       RIPE # Filtered

 

[djrick]

Sagen wir mal so:
1.) Ja es ist ein Hackversuch
2.) Das ist allerdings "Normal"
Bei (fast) jedem Server versuchen Hacker immer wieder mit Standartusern / Passwörtern auf deinen Server zu kommen und SSH meldet eigentlich nur dass es Fehlgeschlagene Authentifizierungen gab.

Es gibt da 3 Möglichkeiten:
1.) Irgnorieren, solange keiner deine Passwörter kennt passiert nix
2.) Denyhosts installieren, diese Lösung setze ich auf meinem Server ein. Ein User der sich 2 mal falsch authentifiziert wird per iptalbes automatisch auf dem Server gesperrt (aufpassen dass man sich net selbst aussperrt ) link das tolle, sowie ich finde, ist eine globale Liste der IPs die das immer wieder versuchen. Das heisst: Denyhosts schaut in gewissen Abständen im Internet auf die Globale Liste und übernimmt die IPs, somit werden Zukünftig Bekannte Spammer schon direkt ausgesperrt.
3.) SSH-Blocker Installieren. Ähnliche Lösung. Such mal hier im Forum
4.) Oder SSH einfach auf einen anderen Port verlegen

 

[flyingoffice]

Wie heißt diese Seite ??

zb. hier...

Ich glaube die Frage, ob ich wirklich gehackt werde (zumindest versucht) brauche ich garnicht erst zu stellen...

Nein, da laufen Bruteforce Attacken, sprich es wird versucht eine passende Kombination und User und Password zu erraten/probieren. Du kannst das zB. mit einem Tool wie Denyhosts abstellen. Weiterhin könntest Du den SSH Zugang weiter absichern.

Gruß flyingoffice

 

[flyingoffice]

Denyhosts installieren, diese Lösung setze ich auf meinem Server ein. Ein User der sich 2 mal falsch authentifiziert wird per iptalbes automatisch auf dem Server gesperrt

Denyhosts nutzt doch /etc/hosts.deny und nicht iptables

Gruß flyingoffice

 

[djrick]

Denyhosts nutzt doch /etc/hosts.deny und nicht iptables

Hups ja klar, sorry, bin noch nicht ganz wach

 

[flyingoffice]

Hups ja klar, sorry, bin noch nicht ganz wach

Na dann ist ja gut . Mal aus Interesse, was hast Du als BLOCK_SERVICE in der denyhosts.cfg? ALL oder sshd?

Gruß flyingoffice

 

[Lord_Icon]

so n drecksack...

würd jetzt am liebsten gleich ne Anzeige machen wollen. Un ma gugen, was passiert... <= hat da jm. schon Erfahrung ??


oki... entsprechend euren Vorschlägen, wollt ich mich gleich mal ranmachen, und erste Sicherheitseinschränkungen vornehmen.

Angefangen damit, den Standart User : ROOT.. direkt zu speeren und ein relativ schwer zu erratenen User zu erstellen. Gemäß der SUPER Beschreibung (weil auf deutsch ) soll man

Wir legen also zunächst einen neuen Benutzer mit einem Benutzernamen und einem Kennwort unserer Wahl an. 

           adduser benutzername

eingeben:

-bash: adduser: command not found

hab n vServer von s4y...

 

[V40]

.....

würd jetzt am liebsten gleich ne Anzeige machen wollen. Un ma gugen, was passiert... <= hat da jm. schon Erfahrung ??...

Ich beschränke mich dabei immer auf eine Mail an abuse bei seinem Provider.
Das reicht miestens völlig aus, da die (je nach Anbieter) den Server auf dem das Script läuft gleich abschalten und/oder den "BEsitzer" verwarnen.

Bis jetzt hat es relativ kurz nach der Mail immer aufgehört.

 

[djrick]

ALL oder sshd?

ALL, denn wer versucht mein SSH zu Hacken hat garantiert nix auf meinem Webserver oder FTP Server zu suchen

adduser: command not found

versuchs mal mit: useradd

 

[flyingoffice]

hab n vServer von s4y...

Ich nicht . Das benutzte System wäre hier hilfreicher gewesen. Aber versuch es mal mit useradd.

<edit> schon wieder zu spät</edit>

Gruß flyingoffice

 

[Lord_Icon]

lol... das mag ich hier im forum...

da sind die Problemlösungsvorschläge meist schneller da, als die Probleme selbst ^^


Oki... useradd scheint zu funzen... ma gugen, wann ich im tut wieder hängen bleibe..

asooo..

Betriebssystem: SuSE Linux 9.3
Kernel: Linux 2.6.8-022stab070.5-enterprise

 

[Lord_Icon]

@ JEFF


Wie hast du das ausgegeben bekommen

Ich war auf http://www.dnsstuff.com/
und habe die IP mit der IPWHOIS Lookup
und habe folgendes Angezeigt bekommen:


Du hast
abuse-mailbox: abuse@business.telecomitalia.it

bei mir kommt (egal welche IP Addy ich teste (auch meine ^^))
abuse-mailbox: *****@business.telecomitalia.it

bist du Registriert ?? Zahlst du für die Auskunft, oder warum ist meine Ausgabe eingeschränkt ??

Using 3 day old cached answer (or, you can get fresh results).
Hiding E-mail address (you can get results with the E-mail address).

% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-proposal-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Information related to '217.141.109.0 - 217.141.109.255'

inetnum:      217.141.109.0 - 217.141.109.255
netname:      INTERBUSINESS
descr:        Interbusiness infrastructural
descr:        Backbone PtP in Area 0
country:      IT
admin-c:      INAS1-RIPE
tech-c:       INAS1-RIPE
status:       ASSIGNED PA
notify:       *******@cgi.interbusiness.it
mnt-by:       INTERB-MNT
changed:      *******@cgi.interbusiness.it 20010710
source:       RIPE

role:           Interbusiness Network Administration Staff
address:        Telecom Italia
address:        Via Paolo di Dono, 44
address:        00142 Roma
address:        Italy
phone:          +39 06 3688 1
e-mail:         *************@telecomitalia.it
admin-c:        DM10018-RIPE
tech-c:         MC4803-RIPE
tech-c:         CC297-RIPE
tech-c:         AS21267-RIPE
tech-c:         RC2468-RIPE
tech-c:         FG82-RIPE
tech-c:         GLM2-RIPE
tech-c:         GP1340-RIPE
tech-c:         AS30532-RIPE
tech-c:         AML88-RIPE
tech-c:         AM1242-RIPE
tech-c:         CF1215-RIPE
tech-c:         LP1779-RIPE
tech-c:         VV727-RIPE
tech-c:         EC1552-RIPE
tech-c:         SS4290-RIPE
nic-hdl:        INAS1-RIPE
notify:         *************@telecomitalia.it
abuse-mailbox:  *****@business.telecomitalia.it
mnt-by:         INTERB-MNT
changed:        **********@telecomitalia.it 20020801
changed:        **********@telecomitalia.it 20040617
changed:        **********@telecomitalia.it 20041130
changed:        **********@telecomitalia.it 20050210
changed:        **********@telecomitalia.it 20050330
changed:        **********@telecomitalia.it 20050906
changed:        **********@telecomitalia.it 20050923
source:         RIPE

% Information related to '217.141.0.0/16AS3269'

route:        217.141.0.0/16
descr:        INTERBUSINESS
origin:       AS3269
remarks:      ************************************************
remarks:      *                Pay attention                 *
remarks:      *   Any communication sent to email different  *
remarks:      *   from the following will be ignored!        *
remarks:      *   Any abuse reports, please send them to     *
remarks:      *       *****@business.telecomitalia.it        *
remarks:      ************************************************
notify:       *******@cgi.interbusiness.it
mnt-by:       INTERB-MNT
changed:      *****@cgi.interbusiness.it 20011009
changed:      **********@telecomitalia.it 20050324
source:       RIPE

 

[Guin]

Geb das einfach so ein die Konsole ein.
"whois 217.141.109.141"

Die Internetseiten verschleiern das teilweise (nicht alle), damit die Emailspider nichts zu fischen haben.

 

[V40]

Hallo Lord_Icon,

ganz unten am Ende der Seite von dem Whois Ergebniss kannst du einen Link anklicken um die Ergebnisse vollständig anzeigen zu lassen.

P.S. : Kostet nichts extra und du brauchst dich nicht anmelden oder sonst etwas !

 

[tty0]

Ansonsten einfach bei direkt nen Whois bei den entsprechenden Organisationen wie RIPE, ARIN, APNIC etc.... Einfach mal bei iana.org vorbeischauen

Und Anzeige bringt dir normal nix, das ist zuviel Aufwand, grad bei außereropäischen Providern. Einfach IP blocken und Abuse hilft meist schon


Regards,
Thilo

 

[h75]

Alternativ kann man auch direkt die Whois-Server befragen. z.b. mit SmartWhois.

Mod: Bilder bitte als Anhang
H75: Warum? Ob ich das Pic hier hochlade oder per IMG einbinde sollte doch aufs gleiche rauskommen. Wenns nur um die Dateigrösse geht, kann ich gerne beim nächsten Screenshot ne Miniaturvorschau vorschalten. Anhang ist Anhang, ob so oder so.

 

[edvsb]

Das Problem hatte ich auch einige Wochen. Zig tausende Zugriffsversuche per SSH. Habe den Port gewechselt und gut war/ist. Dann ging es mit FTP los. Das übernimmt jetzt die Firewall.

Gruß, Ingo

 

[marneus]

Ich hab gestern erstmal 3 Abuse-Mails nach Schweden geschickt...

Wie regelst Du das mit der FW, Ingo? Meine Kunden haben ja immer unterschiedliche IPs, denen kann ich ja nicht den Zugang verbieten. Gibt es evtl. fuer Denyhosts ein proFTP-Plugin?

Edit: Ein wenig Googlen hat mich auf BlockHosts gebracht... ich schau mir das mal an.

Edit2:
BlockHosts scheint eine feine Sache zu sein. Loggt fein mit und blockt auch anständig.