Hack-Versuche

[Thunder888]

hi,

Folgendes in der auth.log:

Jun 24 04:50:16 vs152094 sshd[13579]: Illegal user robomail from 62.75.155.78
Jun 24 04:50:16 vs152094 sshd[13610]: Illegal user robomail from 62.75.155.78
Jun 24 04:50:20 vs152094 sshd[13929]: Illegal user cyrus from 62.75.155.78
Jun 24 04:50:21 vs152094 sshd[13957]: Illegal user cyrus from 62.75.155.78
Jun 24 04:50:28 vs152094 sshd[15526]: Illegal user admin from 62.75.155.78
Jun 24 04:50:29 vs152094 sshd[15546]: Illegal user admin from 62.75.155.78
Jun 24 04:50:29 vs152094 sshd[15576]: Illegal user admin from 62.75.155.78
Jun 24 04:50:29 vs152094 sshd[15593]: Illegal user admin from 62.75.155.78
Jun 24 04:50:29 vs152094 sshd[15623]: Illegal user admin from 62.75.155.78
Jun 24 04:50:30 vs152094 sshd[15635]: Illegal user admin from 62.75.155.78
Jun 24 04:50:30 vs152094 sshd[15684]: Illegal user admin from 62.75.155.78
Jun 24 04:50:31 vs152094 sshd[15698]: Illegal user admin from 62.75.155.78
Jun 24 04:50:38 vs152094 sshd[16332]: Illegal user nagios from 62.75.155.78
Jun 24 04:50:38 vs152094 sshd[16351]: Illegal user nagios from 62.75.155.78
Jun 24 04:50:38 vs152094 sshd[16371]: Illegal user nagios from 62.75.155.78
Jun 24 04:50:39 vs152094 sshd[17413]: Illegal user nagios from 62.75.155.78
Jun 24 04:50:39 vs152094 sshd[17426]: Illegal user nagios from 62.75.155.78
Jun 24 04:50:39 vs152094 sshd[17460]: Illegal user nagios from 62.75.155.78
Jun 24 04:50:40 vs152094 sshd[17482]: Illegal user guest from 62.75.155.78
Jun 24 04:50:40 vs152094 sshd[17503]: Illegal user guest from 62.75.155.78
Jun 24 04:50:40 vs152094 sshd[17524]: Illegal user guest from 62.75.155.78
Jun 24 04:50:41 vs152094 sshd[17537]: Illegal user user from 62.75.155.78
Jun 24 04:50:41 vs152094 sshd[17555]: Illegal user user from 62.75.155.78
Jun 24 04:50:41 vs152094 sshd[17580]: Illegal user user from 62.75.155.78
Jun 24 04:50:42 vs152094 sshd[17617]: Illegal user user from 62.75.155.78
Jun 24 04:50:42 vs152094 sshd[17629]: Illegal user shell from 62.75.155.78
Jun 24 04:50:42 vs152094 sshd[17653]: Illegal user shell from 62.75.155.78
Jun 24 04:50:42 vs152094 sshd[17680]: Illegal user shell from 62.75.155.78
Jun 24 04:50:43 vs152094 sshd[17699]: Illegal user shell from 62.75.155.78
Jun 24 04:50:43 vs152094 sshd[17713]: Illegal user shell from 62.75.155.78
Jun 24 04:50:43 vs152094 sshd[17734]: Illegal user shell from 62.75.155.78
Jun 24 04:50:44 vs152094 sshd[17747]: Illegal user server from 62.75.155.78
Jun 24 04:50:44 vs152094 sshd[17780]: Illegal user server from 62.75.155.78
Jun 24 04:50:44 vs152094 sshd[17795]: Illegal user server from 62.75.155.78
Jun 24 04:50:45 vs152094 sshd[17848]: Illegal user oracle from 62.75.155.78
Jun 24 04:50:46 vs152094 sshd[17873]: Illegal user oracle from 62.75.155.78
Jun 24 04:50:47 vs152094 sshd[17886]: Illegal user oracle from 62.75.155.78
Jun 24 04:50:47 vs152094 sshd[17904]: Illegal user oracle from 62.75.155.78

Sollte ich was dagegen machen, wenn ja, was? Oder entspannt zurücklehnen?

mfg
Thunder888

 

[Guin]

SSH Port verlegen... oder Portsentry installieren ( und dann mit iptables blocken).

Aber im grossen und ganzen, wenn deine PW sicher sind, kannst du dich zuruecklegen.

 

[V40]

Hallo,

ich würde allerdings noch eine nette Mail an S4U schreiben.
Da der Server bei denen steht von dem die Loginversuche kommen.

Die freuen sich imemr über solche Mails.

% Information related to '62.75.155.0 - 62.75.166.255'

inetnum: 62.75.155.0 - 62.75.166.255
netname: VSERVER-1
descr: vSERVER - Virtual dedicated Server-Hosting
descr: http://www.vserver.de
country: DE
org: ORG-BSBS1-RIPE
admin-c: OD376-RIPE
tech-c: IT1309-RIPE
rev-srv: ns1.plusserver.de
rev-srv: ns2.plusserver.de
status: ASSIGNED PA
remarks: Abuse-Contact: abuse@server4you.de
notify: ripe@intergenia.de
mnt-by: INTERGENIA-MNT
changed: jo@intergenia.de 20050414
source: RIPE

organisation: ORG-BSBS1-RIPE
org-name: B S B - Service GmbH
org-type: NON-REGISTRY
descr: Internet-Hoster
remarks: BSB Service GmbH is part of intergenia AG
address: Daimlerstr.9-11
address: 50354 Huerth
address: Germany
phone: +49 2233 612-0
fax-no: +49 2233 612-144
e-mail: ripe@intergenia.de
admin-c: OD376-RIPE
tech-c: IT1309-RIPE
mnt-ref: INTERGENIA-MNT
mnt-by: INTERGENIA-MNT
changed: ripe@intergenia.de 20051102
source: RIPE

role: Intergenia Technik
address: intergenia AG
address: Daimlerstr. 9-11
address: 50354 Huerth
phone: +49 2233 612 0
fax-no: +49 2233 612 144
e-mail: hostmaster@intergenia.de
remarks: trouble: Information Contact info@plusserver.de
remarks: trouble: Abuse Contact abuse@plusserver.de
remarks: trouble: for more information http://www.plusserver.de
admin-c: JO630-RIPE
admin-c: SW8783-RIPE
tech-c: JO630-RIPE
tech-c: SW8783-RIPE
nic-hdl: IT1309-RIPE
mnt-by: INTERGENIA-MNT
notify: hostmaster@intergenia.de
changed: ott@intergenia.de 20010514
changed: sw@plusserver.de 20020521
changed: sw@plusserver.de 20030129
changed: efries@inetbone.net 20030627
changed: sw@plusserver.de 20030627
changed: sw@server4you.net 20031121
changed: jo@intergenia.de 20040112
changed: jo@intergenia.de 20040801
changed: jo@intergenia.de 20040809
changed: ripe@intergenia.de 20050118
source: RIPE
abuse-mailbox: abuse@plusserver.de

Quelle : http://www.dnsstuff.com/tools/whois.ch?ip=62.75.155.78&email=on

Ist nur meine Meinung, aber ich denke das der "Besitzer" des Servers im zweifelsfall nicht mal davon etwas weiss, und wenn er davon weiss ist es noch schlimmer.

Also raus mit der Kiste aus dem Netz

 

[Shadow]

Oder noch besser:

Statt eines Passwortes die Authentifizierung mittels Schlüssel machen.
Dann sollten dich solche Einträge nicht mehr groß stören

 

[flyingoffice]

Das meiste wurde ja schon gesagt:

a) ssh Port verlegen
b) ssh Zugang nur noch über Keys
c) Angreifende IPs mit DenyHosts vom Server verbannen. Wirklich hilfreich ist die Onlinedatenbank mit "bösen" IPs von DenyHosts. So hat man schnell seine /etc/hosts.deny mit entsprechenden IPs gefüllt und Ruhe ist.

Gruß flyingoffice

 

[webas]

Und natürlich keinen root Zugriff erlauben, immer über su - am Server arbeiten. Habe ich dieses bei meinem ersten Server gelernt, "the hard way around"