Hackversuche auf SSH ?

Lord_Icon

Lord_Icon

Member
Hi,

folgende beunruhigende Log einträge habe ich ebend in /var/log/warn gefunden

Code: 
Jun 16 18:50:54 Kundensystem-Backup sshd[4557]: error: PAM: Authentication failure for postfix from kilo038.server4you.de
Jun 16 18:50:54 Kundensystem-Backup sshd[4560]: error: PAM: User not known to the underlying authentication module for illegal user quake from kilo038.server4you.de
Jun 16 18:50:54 Kundensystem-Backup sshd[4563]: error: PAM: User not known to the underlying authentication module for illegal user cstrike from kilo038.server4you.de
Jun 16 18:50:54 Kundensystem-Backup sshd[4566]: error: PAM: User not known to the underlying authentication module for illegal user mooha from kilo038.server4you.de
Jun 16 19:13:25 Kundensystem-Backup sshd[4781]: error: PAM: User not known to the underlying authentication module for illegal user postgres from kilo038.server4you.de
Jun 16 19:13:26 Kundensystem-Backup sshd[4784]: error: PAM: Authentication failure for mysql from kilo038.server4you.de
Jun 16 19:13:26 Kundensystem-Backup sshd[4787]: error: PAM: Authentication failure for games from kilo038.server4you.de
Jun 16 19:13:26 Kundensystem-Backup sshd[4790]: error: PAM: User not known to the underlying authentication module for illegal user operator from kilo038.server4you.de
Jun 16 19:13:26 Kundensystem-Backup sshd[4793]: error: PAM: User not known to the underlying authentication module for illegal user zope from kilo038.server4you.de
Jun 16 19:13:26 Kundensystem-Backup sshd[4796]: error: PAM: User not known to the underlying authentication module for illegal user nagios from kilo038.server4you.de
Jun 16 19:13:27 Kundensystem-Backup sshd[4799]: error: PAM: Authentication failure for nobody from kilo038.server4you.de
Jun 16 19:13:27 Kundensystem-Backup sshd[4802]: error: PAM: User not known to the underlying authentication module for illegal user nobody4 from kilo038.server4you.de
Jun 16 19:13:27 Kundensystem-Backup sshd[4805]: error: PAM: User not known to the underlying authentication module for illegal user ldap from kilo038.server4you.de
Jun 16 19:13:27 Kundensystem-Backup sshd[4808]: error: PAM: User not known to the underlying authentication module for illegal user tomcat from kilo038.server4you.de
Jun 16 19:15:10 Kundensystem-Backup postfix/trivial-rewrite[4850]: warning: do not list domain domain.de in BOTH virtual_alias_domains and relay_domains
Jun 16 19:25:39 Kundensystem-Backup postfix/trivial-rewrite[4962]: warning: do not list domain domain.de in BOTH virtual_alias_domains and relay_domains
Jun 16 19:32:07 Kundensystem-Backup sshd[5058]: error: PAM: User not known to the underlying authentication module for illegal user postgres from kilo038.server4you.de
Jun 16 19:32:07 Kundensystem-Backup sshd[5061]: error: PAM: Authentication failure for mysql from kilo038.server4you.de
Jun 16 19:32:08 Kundensystem-Backup sshd[5064]: error: PAM: Authentication failure for games from kilo038.server4you.de
Jun 16 19:32:08 Kundensystem-Backup sshd[5067]: error: PAM: User not known to the underlying authentication module for illegal user operator from kilo038.server4you.de
Jun 16 19:32:08 Kundensystem-Backup sshd[5070]: error: PAM: User not known to the underlying authentication module for illegal user zope from kilo038.server4you.de
Jun 16 19:32:08 Kundensystem-Backup sshd[5073]: error: PAM: User not known to the underlying authentication module for illegal user nagios from kilo038.server4you.de
Jun 16 19:32:08 Kundensystem-Backup sshd[5076]: error: PAM: Authentication failure for nobody from kilo038.server4you.de
Jun 16 19:32:08 Kundensystem-Backup sshd[5079]: error: PAM: User not known to the underlying authentication module for illegal user nobody4 from kilo038.server4you.de
Jun 16 19:32:09 Kundensystem-Backup sshd[5082]: error: PAM: User not known to the underlying authentication module for illegal user ldap from kilo038.server4you.de
Jun 16 19:32:09 Kundensystem-Backup sshd[5085]: error: PAM: User not known to the underlying authentication module for illegal user tomcat from kilo038.server4you.de
Jun 16 19:47:45 Kundensystem-Backup postfix/trivial-rewrite[5273]: warning: do not list domain domain.de in BOTH virtual_alias_domains and relay_domains
Jun 16 20:06:42 Kundensystem-Backup postfix/trivial-rewrite[5515]: warning: do not list domain domain.de in BOTH virtual_alias_domains and relay_domains
Jun 16 20:14:59 Kundensystem-Backup postfix/trivial-rewrite[5609]: warning: do not list domain domain.de in BOTH virtual_alias_domains and relay_domains
Jun 16 21:59:22 Kundensystem-Backup sshd[6722]: error: PAM: User not known to the underlying authentication module for illegal user postgres from kilo038.server4you.de
Jun 16 21:59:22 Kundensystem-Backup sshd[6725]: error: PAM: User not known to the underlying authentication module for illegal user postgres from kilo038.server4you.de
Jun 16 21:59:22 Kundensystem-Backup sshd[6728]: error: PAM: Authentication failure for mysql from kilo038.server4you.de
Jun 16 21:59:22 Kundensystem-Backup sshd[6731]: error: PAM: User not known to the underlying authentication module for illegal user oracle from kilo038.server4you.de
Jun 16 21:59:23 Kundensystem-Backup sshd[6734]: error: PAM: Authentication failure for games from kilo038.server4you.de
Jun 16 21:59:23 Kundensystem-Backup sshd[6737]: error: PAM: User not known to the underlying authentication module for illegal user postgres from kilo038.server4you.de
Jun 16 21:59:23 Kundensystem-Backup sshd[6740]: error: PAM: User not known to the underlying authentication module for illegal user tomcat from kilo038.server4you.de
Jun 16 21:59:23 Kundensystem-Backup sshd[6743]: error: PAM: User not known to the underlying authentication module for illegal user tomcat from kilo038.server4you.de
Jun 16 21:59:23 Kundensystem-Backup sshd[6746]: error: PAM: User not known to the underlying authentication module for illegal user backup from kilo038.server4you.de
Jun 16 21:59:24 Kundensystem-Backup sshd[6749]: error: PAM: User not known to the underlying authentication module for illegal user backup from kilo038.server4you.de
Eigendlich brauch ich hier nicht groß weiterfragen. Ich denke, die Log spricht Bände.

Was ich aber nicht verstehe...
Wer ist denn so blöde, und versucht warlose Benutzerkombinationen von einen Server4You Server ?
Zumal ja sogar der Benutzername des Servers angegeben ist. (war da selber mal)

Meine Frage ist nun folgende:
Vor langer Zeit wurde mal mein Server gehackt und an diesen Tage habe ich mir geschworen jeden Hackversuch zu Anzeige zu bringen.

Was ratet Ihr mir ? wie sollte ich vorgehen ?
 
Last edited by a moderator:
Schreib ne Mail an abuse@server4you.de und kopiere den Logauszug da mit rein. Mal schauen, wann sich der Besitzer von kilo038 hier im Forum meldet, dass sein Server gesperrt wurde. Strafrechtlich brauchst Du gar nichts machen, weil Du keinen Schaden davon getragen hast.

Um den Rest Deiner Fragen zu beantworten: Das sind ganz normale Listen mit Usernamen die ein Script durchprobiert. Da sitzt niemand und hämmert die manuell ein.
 
Lord_Icon said:
Was ratet Ihr mir ? wie sollte ich vorgehen ?
Click to expand...
Abuse Mail an S4Y. Die bei S4Y wird das auch interessieren, was da ein Kunde von Ihnen macht, aber ich denke einmal, dass der selber gehackt wurde ;)

Evtl. deinen SSH Port verlegen, dann hast du solche Versuche nicht oder Fail2Ban installieren, oder...
 
Da es sich dabei wohl eher um einen gehackten Server handelt der dazu Missbraucht wird, würde ich lieber Server4You davon in Kenntniss setzen.
Die Vergangenheit hat gezeigt das Server4You ziemlich konsequent die Server sperrt. ;)

Eine Anzeige menschlich gesehen recht wenig. Da du mit der Anzeige nur den Mieter des gehackten Servers erwischst, der das wohl kaum vorsätzlich will und tut.
Den eigentlichen Übeltäter erwischst du damit nicht.
 
Hab da grad mal angerufen.

Ist anscheinend kein gefakter Absender... Server gibt es wirklich.

Soll Log an abuse schicken... + anzeige machen
 
Ja Abuse mit Logs an S4Y, von der Anzeige kannst du aber wie Firewire geschrieben hat absehen.

Zum 4. Mal jetzt *fg*
 
Eine Anzeige menschlich gesehen recht wenig. Da du mit der Anzeige nur den Mieter des gehackten Servers erwischst, der das wohl kaum vorsätzlich will und tut.
Den eigentlichen Übeltäter erwischst du damit nicht.
Click to expand...


och.... so einfach werd ich das nicht abtun.

Man sollte ja bedenken, das S4Y mitlerweile Preise haben, die sich jeder 3t Klässer vom Taschengeld bezahlen kann.

Und nach Auskunft von S4Y sind derzeitig noch keine Anzeigen vom Inhaber erfolgt.
 
Ein Abuse Mail sollte reichen um den Eigentümer einmal Lehrgeld bezahlen zu lassen - bei diesen Dictionary Attacks passiert doch so und so nichts - sofern man halbwegs weiß, was man mit dem Server macht. Meine Meinung - letztendlich musst das aber du entscheiden.

EDIT: Jetzt reichts, wir sollten uns ausmachen, wer antwortet ;)
 
Last edited by a moderator:
jaa... schon klar.

Aber du kannst jetzt nicht so lapidar damit umgehen.

Ich will dich daran erinnern, das Hackversuche strafbar sind.
Wenn du eine straftat nicht zur Anzeige bringst, machst du dich selber strafbar.

Nun entzieht es sich meiner Kenntniss, ob ein Hackversuch unter "Kavaliersdelikte" (oder geringe Verstöße, die keiner Anzeige bedarfen)zählen.

Auch solltest du es von der Seite sehen, das WENN dann irgendwann der Hackversuch erfolgreich war, das ICH als Serveradmin den Schaden bezahlen muß !! Es heißt nicht umsonst => Root sein verpflichtet.

Aufgrund eures Alters, denke ich aber, das euch das noch nicht wirklich passiert ist. Ist muß leider schon aus Erfahrung berichten, das einmal mein Server gehackt worden ist und als Spamschleuder sowie als "Hackserver" mißbraucht worden ist. Ich glaube, das ich damals 23 oder 24 Anzeigen bekommen hatte. Vom Finanziellen mal ganz zu schweigen.

Aber heute + morgen wird ja eh nichts mehr passieren (Anzeige mäßig)
Werde an Abuse sämtliche Logs schicken + Montag anrufen, ob ermittelt worden ist, ob der Server gehackt worden ist oder nicht. Das wird dann der ausschlagende Punkt sein, ob oder ob nicht Anzeige erfolgt.



Danke aber für eure überaus schnelle Antworten :D
 
Auch wenn ich die intelligenz bei manchen Hosting Kunden durchaus hin und wieder suche, gehe ich zu 100% davon aus das der Server gehackt worden ist und missbraucht wird.
 
Ich möchte gar nicht im Details antworten, aber Dir den ganz heißen Tipp geben, dass wir drei hier schon seit knapp 10 Jahren mit Servern hantieren. Der Servernutzer muss auf jeden Fall schon mal 39€ an S4Y abdrücken. Da rein gar nichts passiert ist, wird die Staatsanwaltschaft das wohl nicht weiter verfolgen. Belaste das Rechtssystem nicht mit Junk!

"Root sein verpflichtet"... Ja, aber schau Dich mal im Forum um. Ist nicht immer alles 0 oder 1 und deswegen mal Leben und Leben lassen. S4Y kümmert sich sicher gerne um den Server.

Sollte der Server nicht gehackt worden sein liegt natürlich ein Vorsatz vor und man kann drüber reden, aber ich bin der festen Überzeugung, dass dies ein gehackter Server ist.

Ach ja, bevor ich das vergesse,... wenn Dein Server erfolgreich gehackt wird, dann ist die Sachlage eine andere und es ist Schaden entstanden. Ich kann Dir gerne mal meine OSSEC Logauszüge weiterleiten. Wenn ich jeden Webscan an die Provider weiterleiten würde, wäre ich wahrscheinlich schon auf deren Weihnachtskartenliste...
 
sag ich dir Montag
auch wenn es sich um S4y handelt... denke ich doch, das die einen Gehackten Server in dieser Zeit erkennen + Maßnahmen unternehmen... bzw. Auskunft geben können
 
Der Thread hat ja eure vollkommende Aufmerksamkeit ^^

heißen Tipp geben, dass wir drei hier schon seit knapp 10 Jahren mit Servern hantieren
Click to expand...
O.k. Fehler meinerseits eurer Alter mit den Erfahrungswerten zu vergleichen.


Wenn ich jeden Webscan an die Provider weiterleiten würde, wäre ich wahrscheinlich schon auf deren Weihnachtskartenliste...
Click to expand...

ROTFL
 
wstuermer said:
und für 9ct/Minute mit mir telefoniert, um das zu erfahren, was dir hier schon mehrfach offeriert wurde :)
Click to expand...

Ahja... der Herr Stürmer...

Was hier offeriert wurde sind nicht mehr als Vermutungen. Mit gewissheit kann das hier keiner sagen. Ausser Sie natürlich.

Da Telefonisch aber aus verständlichen Gründen keine Auskunft darüber gegeben werden kann, ist dieser Thread bzw. die Aussagen nicht mehr als "Glaskugel gugerei". Sicherlich mit einer hohen Warscheinlichkeit das der Server wirklich gehackt worden ist.


Mal eine andere Frage Herr Stürmer => Sie sind "nur" Support der Probleme aufnimmt oder auch ein bissel Techniker ? Der mal auf die Maschine geht und ein wenig was Prüft. Ich denke doch, das der oben gepostete Auszug Grund genug ist, um gewisse "Handlungen" vorzunehmen.


Denn die IP ist weiterhin aktive bzw. pingbar.:mad:
Wobei ich mir recht wenig Sorgen mache, das er jemals das ssh passwort hackt. Da würden mir eher andere Dienste sorgen machen..



Edit:
9 ct ... lach.
Bei einen erfolgreichen Hackversuch wohl die geringsten Kosten. Bei den damaligen Kosten hätte ich Sie gut und gerne 1-3 Monate Gehaltlich bezahlen können ... je nachdem was Ihr verdient ^^
 
Last edited by a moderator:
Gute fragen, die ich auch gerne aus erster Hand beantworten möchte.
Unsere Kunden haben auf Ihren Root-Servern vollkommen freie Hand. Wir (S4Y) stellt lediglich die Hardware und die Anbindung.
Soll heissen, wir wollen/dürfen uns auf den Servern nicht einloggen, ausser der Kunde hat ein technisches Problem und teilt uns die entsprechenden Zugangspasswörter mit. Diese sind für uns nicht einfach so einsehbar.

Im aktuellen Fall ist die Mail an abuse@server4you.de das Mittel der Wahl, da die Kollegen der Abuse-Abteilung die einzigen sind, welche eine Serversperrung anordnen dürfen.

Da wir aber auch immer wieder hören: "Aber hätten Sie doch erstmal eine Mail geschickt, hätte ich doch was dagegen getan" oder so ähnlich, sperren wir doch recht konsequent um uns gegen rechtliche Ansprüche zu schützen.
-wir stellen die Leitungen, worüber evtl. eine Straftat begangen wurde
-wir wussten das Angriffe laufen, haben aber nicht eingegriffen (passive Mittäterschaft)
um nur mal zwei Beispiele zu nennen.

Marneus hat übrigens Recht... sobald unsere Abuseabteilung die Sperre anordnet, kostet das den Serverinhaber (unseren Vertragspartner) 39 Euro.

Ich wage aber auch die allgemeine Vermutung hier im Thread zu unterstützen, dass da entweder ein Script Amok läuft oder dass der zum Amok laufen gezwungen wird.
Das ist dann aber nicht mehr meine Aufgabe das rauszufinden :)

Wichtig ist erstmal, dass die Info ans Abuseteam raus ist.


Mfg
Wolfgang
 
You must log in or register to reply here.
Back
Top