hacker angriff?

Toffel · Jan 7, 2006

heY!

ich habe mir heute mal durch Zufall die login Datein angeschaut und musste feststellen das da irgendwas nicht stimmt:

Jan 6 06:35:32 h622498 sshd[20523]: Received disconnect from ::ffff:62.33.195.102: 11: Bye Bye
Jan 6 06:35:34 h622498 sshd[20524]: Illegal user webmaster from ::ffff:62.33.195.102
Jan 6 06:35:34 h622498 sshd[20524]: input_userauth_request: illegal user webmaster
Jan 6 06:35:34 h622498 sshd[20524]: Failed password for illegal user webmaster from ::ffff:62.33.195.102 port 36268 ssh2
Jan 6 06:35:34 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=62.33.195.102 DST=81.169.130.199 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=9200 DF PROTO=TCP SPT=36427 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A2D90A58E0000000001030302)
Jan 6 06:35:34 h622498 sshd[20524]: Received disconnect from ::ffff:62.33.195.102: 11: Bye Bye
Jan 6 06:35:35 h622498 sshd[20525]: Failed password for root from ::ffff:62.33.195.102 port 36427 ssh2
Jan 6 06:35:35 h622498 sshd[20525]: Received disconnect from ::ffff:62.33.195.102: 11: Bye Bye
Jan 6 06:35:35 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=62.33.195.102 DST=81.169.130.199 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=3781 DF PROTO=TCP SPT=36568 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A2D90AADC0000000001030302)
Jan 6 06:35:36 h622498 sshd[20526]: Illegal user admin from ::ffff:62.33.195.102
Jan 6 06:35:36 h622498 sshd[20526]: input_userauth_request: illegal user admin
Jan 6 06:35:36 h622498 sshd[20526]: Failed password for illegal user admin from ::ffff:62.33.195.102 port 36568 ssh2
Jan 6 06:35:36 h622498 sshd[20526]: Received disconnect from ::ffff:62.33.195.102: 11: Bye Bye
Jan 6 06:35:36 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=62.33.195.102 DST=81.169.130.199 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=60860 DF PROTO=TCP SPT=36718 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A2D90B00F0000000001030302)
Jan 6 06:35:38 h622498 sshd[20527]: Illegal user administrator from ::ffff:62.33.195.102
Jan 6 06:35:38 h622498 sshd[20527]: input_userauth_request: illegal user administrator
Jan 6 06:35:38 h622498 sshd[20527]: Failed password for illegal user administrator from ::ffff:62.33.195.102 port 36718 ssh2
Jan 6 06:35:38 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=62.33.195.102 DST=81.169.130.199 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=4458 DF PROTO=TCP SPT=36878 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A2D90B5720000000001030302)

Das sieht so aus als wenn da jemand probiert rein zukommen oder?

Was kann ich da jetzt am besten machen?

thx und viel fun!

Edit:

Damit kann ich auch nichts anfange:

Jan 6 11:17:56 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=84.179.24.51 DST=81.169.130.199 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=47569 DF PROTO=TCP SPT=35907 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405AC0402080AE7F40DBE0000000001030302)
Jan 6 11:18:00 h622498 /USR/SBIN/CRON[29714]: (root) CMD (killall -HUP authdaemond.plain > /dev/null)
Jan 6 11:18:00 h622498 /USR/SBIN/CRON[29715]: (root) CMD (/usr/local/visas/server/visas-event.sh)
Jan 6 11:18:00 h622498 authdaemond.plain: authdaemon: modules="authcustom authcram authuserdb authvchkpw authshadow authpwd", daemons=5
Jan 6 11:18:01 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=80.133.182.158 DST=81.169.130.199 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=16460 DF PROTO=TCP SPT=61766 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Jan 6 11:18:13 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=84.179.24.51 DST=81.169.130.199 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=61877 DF PROTO=TCP SPT=35985 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405AC0402080AE7F44EAC0000000001030302)
Jan 6 11:18:23 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=84.179.24.51 DST=81.169.130.199 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=9120 DF PROTO=TCP SPT=36056 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405AC0402080AE7F478620000000001030302)
Jan 6 11:18:24 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=84.179.184.85 DST=81.169.130.199 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=36754 DF PROTO=TCP SPT=5785 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405AC0402080AE7F47B300000000001030302)
Jan 6 11:18:27 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=84.179.24.51 DST=81.169.130.199 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=23586 DF PROTO=TCP SPT=36063 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405AC0402080AE7F486E80000000001030302)
Jan 6 11:18:29 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=84.177.198.49 DST=81.169.130.199 LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=1758 DF PROTO=TCP SPT=1144 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405AC0103030001010402)
Jan 6 11:18:37 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=84.177.198.49 DST=81.169.130.199 LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=1850 DF PROTO=TCP SPT=1148 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405AC0103030001010402)
Jan 6 11:19:00 h622498 /USR/SBIN/CRON[29743]: (root) CMD (killall -HUP authdaemond.plain > /dev/null)
Jan 6 11:19:00 h622498 authdaemond.plain: authdaemon: modules="authcustom authcram authuserdb authvchkpw authshadow authpwd", daemons=5

pesthoernchen · Jan 7, 2006

Hi, lese mal diesen Thread. Er behandelt genau dein Thema.

Gruss C.

BlueScreen · Jan 7, 2006

Ich täte allgemein dein SSH richtig absichern, siehe hier als Anhaltspunkt:
http://www.debianhowto.de/de:howtos:woody:ssh

Toffel · Jan 7, 2006

BlueScreen said:
Ich täte allgemein dein SSH richtig absichern, siehe hier als Anhaltspunkt:
http://www.debianhowto.de/de:howtos:woody:ssh

jop dabei bin ich grade^^

also das hier war die falschen logins ja?

Jan 6 06:35:32 h622498 sshd[20523]: Received disconnect from ::ffff:62.33.195.102: 11: Bye Bye
Jan 6 06:35:34 h622498 sshd[20524]: Illegal user webmaster from ::ffff:62.33.195.102
Jan 6 06:35:34 h622498 sshd[20524]: input_userauth_request: illegal user webmaster
Jan 6 06:35:34 h622498 sshd[20524]: Failed password for illegal user webmaster from ::ffff:62.33.195.102 port 36268 ssh2
Jan 6 06:35:34 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=62.33.195.102 DST=81.169.130.199 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=9200 DF PROTO=TCP SPT=36427 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A2D90A58E0000000001030302)
Jan 6 06:35:34 h622498 sshd[20524]: Received disconnect from ::ffff:62.33.195.102: 11: Bye Bye
Jan 6 06:35:35 h622498 sshd[20525]: Failed password for root from ::ffff:62.33.195.102 port 36427 ssh2
Jan 6 06:35:35 h622498 sshd[20525]: Received disconnect from ::ffff:62.33.195.102: 11: Bye Bye
Jan 6 06:35:35 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=62.33.195.102 DST=81.169.130.199 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=3781 DF PROTO=TCP SPT=36568 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A2D90AADC0000000001030302)
Jan 6 06:35:36 h622498 sshd[20526]: Illegal user admin from ::ffff:62.33.195.102
Jan 6 06:35:36 h622498 sshd[20526]: input_userauth_request: illegal user admin
Jan 6 06:35:36 h622498 sshd[20526]: Failed password for illegal user admin from ::ffff:62.33.195.102 port 36568 ssh2
Jan 6 06:35:36 h622498 sshd[20526]: Received disconnect from ::ffff:62.33.195.102: 11: Bye Bye
Jan 6 06:35:36 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=62.33.195.102 DST=81.169.130.199 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=60860 DF PROTO=TCP SPT=36718 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A2D90B00F0000000001030302)
Jan 6 06:35:38 h622498 sshd[20527]: Illegal user administrator from ::ffff:62.33.195.102
Jan 6 06:35:38 h622498 sshd[20527]: input_userauth_request: illegal user administrator
Jan 6 06:35:38 h622498 sshd[20527]: Failed password for illegal user administrator from ::ffff:62.33.195.102 port 36718 ssh2
Jan 6 06:35:38 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=62.33.195.102 DST=81.169.130.199 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=4458 DF PROTO=TCP SPT=36878 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A2D90B5720000000001030302

aber was das hier?

Jan 6 11:17:56 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=84.179.24.51 DST=81.169.130.199 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=47569 DF PROTO=TCP SPT=35907 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405AC0402080AE7F40DBE0000000001030302)
Jan 6 11:18:00 h622498 /USR/SBIN/CRON[29714]: (root) CMD (killall -HUP authdaemond.plain > /dev/null)
Jan 6 11:18:00 h622498 /USR/SBIN/CRON[29715]: (root) CMD (/usr/local/visas/server/visas-event.sh)
Jan 6 11:18:00 h622498 authdaemond.plain: authdaemon: modules="authcustom authcram authuserdb authvchkpw authshadow authpwd", daemons=5
Jan 6 11:18:01 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=80.133.182.158 DST=81.169.130.199 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=16460 DF PROTO=TCP SPT=61766 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Jan 6 11:18:13 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=84.179.24.51 DST=81.169.130.199 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=61877 DF PROTO=TCP SPT=35985 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405AC0402080AE7F44EAC0000000001030302)
Jan 6 11:18:23 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=84.179.24.51 DST=81.169.130.199 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=9120 DF PROTO=TCP SPT=36056 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405AC0402080AE7F478620000000001030302)
Jan 6 11:18:24 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=84.179.184.85 DST=81.169.130.199 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=36754 DF PROTO=TCP SPT=5785 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405AC0402080AE7F47B300000000001030302)
Jan 6 11:18:27 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=84.179.24.51 DST=81.169.130.199 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=23586 DF PROTO=TCP SPT=36063 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405AC0402080AE7F486E80000000001030302)
Jan 6 11:18:29 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=84.177.198.49 DST=81.169.130.199 LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=1758 DF PROTO=TCP SPT=1144 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405AC0103030001010402)
Jan 6 11:18:37 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=84.177.198.49 DST=81.169.130.199 LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=1850 DF PROTO=TCP SPT=1148 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405AC0103030001010402)
Jan 6 11:19:00 h622498 /USR/SBIN/CRON[29743]: (root) CMD (killall -HUP authdaemond.plain > /dev/null)
Jan 6 11:19:00 h622498 authdaemond.plain: authdaemon: modules="authcustom authcram authuserdb authvchkpw authshadow authpwd", daemons=5

ach ja wie kann ich mir die datein runterladen?
also was für befehl?

thx und viel fun!

Thorsten · Jan 7, 2006

Hallo!
Das erste ist ein brute force Angriff auf sshd deines Servers. Man versucht also mit Standard Benutzername / Kennwortkombinationen Zugang zu deinem Server zu bekommen. In heutigen Zeiten leider fast schon normal.

Das zweite ist dein SuSE Firewall Log. Was genau willst du herunterladen?

mfG
Thorsten

Toffel · Jan 7, 2006

heY!

ok jut, also das oben hab ich schon irgendwie mir so gedacht, muss man davor große angst haben?
weil die user die haben hab ich ja gar nicht, aber kann ja mal durch zufall sein!

Mit runterladen meinte ich die Logs, aber das hab ich schon hingekriegt.

Die SuSE Firewall Logs sind wie wichtig?
Was bedeuten die?

thx und viel fun!

Michi · May 6, 2006

Hallo, ich habe heute in einen Logs gesehn das einer von ner IP aus Frankreich versucht auf meinen Server zu kommen. Laut Ripe umfasst die Range nur 8 IPs meint ich es lohnt sich dort mal eine Mail hinzuschreiben?

Tobster · May 6, 2006

Solange er nicht eingedrungen ist nein! Der Versuch ist nicht strafbar.

MrMasterJPsy · May 7, 2006

"Nach § 303b Abs.2 StGB ist auch die versuchte Computersabotage strafbar"

Deine Quelle für deine Aussage bitte - weil dann hab ich einiges verpasst...

Cu JPsy

Edit : http://www.eulisp.uni-hannover.de/media/Abschlussarbeiten/loerke_michael.pdf

phor · Jun 4, 2006

Ich habe einen vServer mit Suse9.3 und Plesk 7.5.4.

Nun würde ich gerne mal die Logdateien lesen.

/var/log/messages

funktioniert leider nicht.

/var/log/auth.log

existiert(?) nicht.

Was tun. Laut Plesk läuft xinetd auf dem Server.

Thorsten · Jun 4, 2006

Hallo!

phor said:
funktioniert leider nicht.

Klasse Fehlermeldung

. Geht es etwas genauer?

mfG
Thorsten

phor · Jun 4, 2006

Thorsten said:
Klasse Fehlermeldung . Geht es etwas genauer?

Code:

vXXXXX:/home/blabliblu # /var/log/messages
bash: /var/log/messages: Permission denied

(mit su davor root rechte geholt)

Code:

vi /var/log/auth.log

öffnet mir ne neue Datei...

Thorsten · Jun 4, 2006

Hallo!
Versuch mal

Code:

cat /var/log/messages | more
vi /var/log/messages

Die Datei auth.log muss es nicht unbedingt geben. Ist distributionsabhängig. Genaueres findest du in der Logfile Konfiguration.

mfG
Thorsten

phor · Jun 5, 2006

hm Danke...

Da habens ja schon einige versucht...

was kann ich da jetzt tun? Sind auch einige 84. und 217. Adressen dabei... evtl. T-Online bzw. europäisch...

hier mal Auszüge der Logfile

MrMasterJPsy · Jun 5, 2006

=> whois ist dein freund... abuse@catchcom.com

Sind ja alle von einer IP - also lohnt sich mal die Mühe für ne E-Mail zu tippen...

...generell findest du im Forum aber genug zu DenyHost, SSH Port verlegen etc etc - such dich mal durch

Cu JPsy

memed · Jun 6, 2006

Tobster said:
Solange er nicht eingedrungen ist nein! Der Versuch ist nicht strafbar.

Ist er sehrwohl, wenn dabei (und seien es marginale) Kosten (sprich Schaden) enstanden ist. Und bereits das zumüllen der Logdateien und das damit verbundene höhere Arbeitsvolumen bei der Kontrolle stellen einen nicht zu duldenden Eingriff in den Serverbetrieb (wenn gewerblich) da.

Sobald du mir Mühen bereitest bei dem Versuch etwas unstatthaftes zu machen (merke nicht de Jure illegales), bist du unterlassungsverpflichtet und must mir den erwiesenen Schaden, sowie alle Aufwendungen um diesen geltend zu machen, ausgleichen. Dies trift nur dann nicht zu, wenn der "Angreifer" ein berechtigtes Interesse an dem Ergebnis seiner Tests hat. (CERT z.B. darf scannen, ISP's und Operator generell dürfen scannen, quasi jeder in dem Bereich, für den er irgeneine Verantwortung trägt, also auch Nachbarnetze, transitnetze usw.)

Und nicht zu verachten sind die RIPE Bedingungen, an die jeder Nutzer direkt oder indirekt gebunden ist. Ob die in dem Fall aber rechstverbindlich gelten ist zu klären (ich kann keine französisch, hier endet meine Forschung).

Aber interessantes Thema, so einfach ja und nein gibts da nicht

Gruß MeMeD

snake*sl · Jun 6, 2006

Das hier dürfte interessant für Dich sein:
https://serversupportforum.de/threads/auto-ssh-login-blocker.2525/

marneus · Jun 7, 2006

Code:

Jun  4 15:58:55 vXYZXY useradd[20172]: account added to group - account=pH03r911, group=video, gid=33, by=0
Jun  4 15:58:55 vXYZXY useradd[20172]: account added to group - account=pH03r911, group=dialout, gid=16, by=0
Jun  4 15:58:55 vXYZXY useradd[20172]: running USERADD_CMD command - script=/usr/sbin/useradd.local, account=pH03r911, uid=10014, gid=100, home=/home/pH03r911, by=0
Jun  4 15:59:46 vXYZXY useradd[25605]: account already exists - account=pH03r911, by=0
Jun  4 16:00:01 vXYZXY /usr/sbin/cron[6917]: (mailman) CMD (/usr/bin/python -S /usr/lib/mailman/cron/gate_news)
Jun  4 16:00:01 vXYZXY /usr/sbin/cron[21765]: (root) CMD (/usr/local/psa/admin/sbin/backupmng >/dev/null 2>&1)
Jun  4 16:00:20 vXYZXY passwd[26183]: password changed - user=root, uid=0, by=0
Jun  4 16:01:05 vXYZXY passwd[16581]: password changed - user=pH03r911, uid=10014, by=0

Das warst hoffentlich Du selbst, oder??

ClemensBW · Jun 7, 2006

autsch

Mushroom · Jun 7, 2006

marneus said:

Code:

Jun  4 15:58:55 vXYZXY useradd[20172]: account added to group - account=pH03r911, group=video, gid=33, by=0
Jun  4 15:58:55 vXYZXY useradd[20172]: account added to group - account=pH03r911, group=dialout, gid=16, by=0
Jun  4 15:58:55 vXYZXY useradd[20172]: running USERADD_CMD command - script=/usr/sbin/useradd.local, account=pH03r911, uid=10014, gid=100, home=/home/pH03r911, by=0
Jun  4 15:59:46 vXYZXY useradd[25605]: account already exists - account=pH03r911, by=0
Jun  4 16:00:01 vXYZXY /usr/sbin/cron[6917]: (mailman) CMD (/usr/bin/python -S /usr/lib/mailman/cron/gate_news)
Jun  4 16:00:01 vXYZXY /usr/sbin/cron[21765]: (root) CMD (/usr/local/psa/admin/sbin/backupmng >/dev/null 2>&1)
Jun  4 16:00:20 vXYZXY passwd[26183]: password changed - user=root, uid=0, by=0
Jun  4 16:01:05 vXYZXY passwd[16581]: password changed - user=pH03r911, uid=10014, by=0

Das warst hoffentlich Du selbst, oder??

Ich glaube er war es nicht selber

Anscheinend läuft die Attacke schon mehrere Tage lang. Echt krass sowas...

hacker angriff?

Registered User

Registered User

Registered User

Registered User

SSF Facilitymanagement

Registered User

Registered User

Tobster

Guest

Registered User

Registered User

SSF Facilitymanagement

Registered User

SSF Facilitymanagement

Registered User

Registered User

Registered User

Registered User

Registered User

Registered User

Registered User

We value your privacy