Keine SSH-Verbindung mehr möglich.

[Daimoch]

Hallo liebe Community,

Ich möchte auf meinen vServer mit ssh und putty zugreifen. Wenn ich mit meiner Server-IP + Root-Account zugreifen will, klappt es nicht. Wenn ich das falsche Passwort eingebe, bekomme ich "Access denied." Aber wenn ich das korrekte Passwort eingebe, bricht Putty mit der Fehlermeldung "Server unexpectedly closed network connection" ab. Als Server benutze ich ein OpenSuse mit Parallels Plesk 9.5.4.

In der Logfile des Servers steht bei jedem (korrekten) Zugriff:

sshd[5229]: error: Could not get shadow information for NOUSER

Ich habe es mit dem Rootaccount und der Server-IP versucht, als auch mit einem FTP-User und einer Subdomain, welchem ich SSH-Zugriff gewährt habe. Ich bekomme immer diesem Verbindungsabrucht. Im Virtouzzo habe ich auch SSH mehrmals neugestartet. In der sshd_config habe ich keepalive und Verbindungsdauer auf yes bzw. 180 Sek gestellt, und allow root connection auf yes...

Wenn ich das pleskinterne SSH Terminal Java-Applett benutze, bekomme ich bei korrektem Login den Fehler :"Connection could
not be established with host: Failed to read messages". Ebenso habe ich mal die host.deny Datei gelöscht. Klappt alles nicht! Bin am verzweifeln..

Jemand noch einen Rat, oder Tipp?

Kann mann SSH irgendwie neuinstallieren? Wie komme ich an die ipTables? Vielleicht ein Firewallproblem?

Es steht weiterhin folgendes in den Logs:

May 27 15:37:17 sxxxxx sshd[1853]: Received signal 15; terminating.
May 27 15:37:17 sxxxxx sshd[5658]: Server listening on :: port 22.
May 27 15:37:17 sxxxxx sshd[5658]: error: Bind to port 22 on 0.0.0.0 failed: Address already in use.
May 27 15:39:45 sxxxxx sshd[7314]: Invalid user anka from 221.174.50.141
May 27 15:39:45 sxxxxx sshd[7314]: error: Could not get shadow information for NOUSER
May 27 15:39:45 sxxxxx sshd[7314]: Failed password for invalid user anka from 221.174.50.141 port 53992 ssh2
May 27 15:43:43 sxxxxx sshd[7345]: Did not receive identification string from 195.20.253.6
May 27 15:45:01 sxxxxx sshd[7346]: Invalid user anka from 221.174.50.141
May 27 15:45:01 sxxxxx sshd[7346]: error: Could not get shadow information for NOUSER
May 27 15:45:01 sxxxxx sshd[7346]: Failed password for invalid user anka from 221.174.50.141 port 51034 ssh2
May 27 15:45:34 sxxxxx sshd[7669]: Did not receive identification string from 195.20.253.5
May 27 15:45:58 sxxxxx sshd[5658]: Received signal 15; terminating.
May 27 15:45:58 sxxxxx sshd[9249]: Server listening on 0.0.0.0 port 22.

Ich kenne keinen user "anka"..ganze Log steht voll mit komischen usern..

Hier der Inhalt meiner sshd_config:

#	$OpenBSD: sshd_config,v 1.75 2007/03/19 01:01:29 djm Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.

#Port 22 
#AddressFamily any
ListenAddress 0.0.0.0
#ListenAddress ::

# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
Protocol 2

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 768

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
PermitRootLogin yes
#StrictModes yes


#RSAAuthentication no
#PubkeyAuthentication no
#AuthorizedKeysFile	.ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts yes
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials no

# Set this to 'yes' to enable PAM authentication, account processing, 
# and session processing. If this is enabled, PAM authentication will 
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
#UsePAM no

#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd no
#PrintLastLog yes
TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation no
#PermitUserEnvironment no
#Compression delayed
ClientAliveInterval 3
ClientAliveCountMax 10
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
PermitTunnel yes

# no default banner path
#Banner /some/path

# override default of no subsystems
Subsystem	sftp	/usr/libexec/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#	X11Forwarding no
#	AllowTcpForwarding no
#	ForceCommand cvs server

Vielen Dank!

 

[Kingme]

Du hast "PermitRootLogin yes" der Root wurde somit ausgesperrt kommentier das mal aus dann funktioniert es wieder.

Als Sicherheitseinstellung macht das auf jedenfall Sinn.

 

[Daimoch]

Hallo,

Danke Kingme. Das stimmt! Es lag allerdings woanders,
für alle, die das gleiche Problem haben:

Ich wurde gehackt. Und zwar haben die Hacker eine falsche ssh Datei eingespielt. Zufinden ist diese unter /usr/sbin/sshd2

Wenn man diese umbenennt und die korrekte sshd Datei wieder einspielt, sind die Hacker voerst ausgeschlossen! Da hat der Serversupport meines Provides gute Arbeit geleistet.

MfG

 

[Kingme]

Hallo,

Danke Kingme. Das stimmt! Es lag allerdings woanders,
für alle, die das gleiche Problem haben:

Ich wurde gehackt. Und zwar haben die Hacker eine falsche ssh Datei eingespielt. Zufinden ist diese unter /usr/sbin/sshd2

Wenn man diese umbenennt und die korrekte sshd Datei wieder einspielt, sind die Hacker voerst ausgeschlossen! Da hat der Serversupport meines Provides gute Arbeit geleistet.

MfG

Habe deine gute nachricht bereits im 1&1 Kundenforum gelesen.

 

[Joe User]

Ich wurde gehackt. Und zwar haben die Hacker eine falsche ssh Datei eingespielt. Zufinden ist diese unter /usr/sbin/sshd2

Wenn man diese umbenennt und die korrekte sshd Datei wieder einspielt, sind die Hacker voerst ausgeschlossen! Da hat der Serversupport meines Provides gute Arbeit geleistet.

Die Kiste ist also noch immer unverändert am Netz?

 

[Deleted member 11740]

Wohl nicht mehr lange.

 

[PapaBaer]

Es lag allerdings woanders,
für alle, die das gleiche Problem haben:

Ich nehme den Faden für alle einfach mal auf. Ein gehackter Server ist gehackt, das ändert sich auch nicht, wenn man die ssh-config wieder hinbiegt. Das wird der TO aber auch noch merken, in den nächsten Stunden oder Tagen ...

 

[Deleted member 11691]

Ein gehackter Server ist gehackt, das ändert sich auch nicht, wenn man die ssh-config wieder hinbiegt.

<Ironie>Ach was, die Befehle, die der TO erstellen musste einfach in Screen in eine While 1 Schleife packen, dann passt das schon :Ð</Ironie>

Nein, 'mal ganz ehrlich: Meine Kunden würden da nicht lange am rumzappeln, denen wird ein Backup per Email zugesandt und der Server wird einfach neu aufgesetzt, ob sie wollen oder nicht. 8)

 

[Deleted member 11740]

Was zuvor aber vertraglich festgelegt sein sollte. Wegen der Störerhaftung musst du die Kiste eh direkt vom Netz nehmen, wenn Gefahr besteht. Das mit den Backups ist aber eine andere Sache. Auf der Kiste sind die Daten des Kunden. Ohne vorherige Erlaubnis könnte das zu Problemen führen.

 

[Jesaja]

Wenn man diese umbenennt und die korrekte sshd Datei wieder einspielt, sind die Hacker voerst ausgeschlossen!

Der Hacker hat keinen SSH-Zugang mehr und du hast ihn wieder.
Allerdings hat der Hacker sich den Zugang selbst angelegt...dafür muss er also irgendwie reingekommen sein und diese Lücke ist noch offen.
=>Er kann jederzeit wiederkommen

 

[Joe User]

Wenn man diese umbenennt und die korrekte sshd Datei wieder einspielt, sind die Hacker voerst ausgeschlossen!

Wenn man das Schloss seiner Haustür austauscht, sind Einbrecher vorerst ausgeschlossen!

Ja, das muss so stimmen, schliesslich hat es mir die Dame von der Auskunft so am Telefon erklärt, als ich die Nummer eines Schlüsseldienstes erfragte...

 

[schnoog]

Wenigstens ist die Türe jetzt abgeschlossen

 

[virtual2]

wenigstens ist die türe jetzt abgeschlossen

+1

----------------------------------

 

[star314]

Wenn man diese umbenennt und die korrekte sshd Datei wieder einspielt, sind die Hacker voerst ausgeschlossen!

Oh Mann, ich bin sprach- und fassungslos ...

 

[BitShock]

Wurde am Server etwas getan?

Hallo zusammen,

ich muss an dieser Stelle den Thread noch mal ausgraben - Da Daimoch ja so freundlich war die IP-Adressen aus dem Log mit zu posten bin ich auf diesen Beitrag gestoßen.
Vorrausgesetzt ich lese seine Log's richtig hämmert sein Server (195.20.253.6 ?) seit einiger Zeit kontinuierlich auf meinen Server ein, oder?

May 22 10:12:46 s1xxxxxxx proftpd[2365]: s1xxxxxxx.onlinehome-server.info (195.20.253.6[195.20.253.6]) - FTP session opened.
May 22 10:12:46 s1xxxxxxx proftpd[2365]: s1xxxxxxx.onlinehome-server.info (195.20.253.6[195.20.253.6]) - FTP session closed.
May 22 10:12:46 s1xxxxxxx stunnel[2364]: stunnel connected from 195.20.253.6:56588
May 22 10:12:46 s1xxxxxxx stunnel[2364]: SSL_accept: Peer suddenly disconnected
May 22 10:12:46 s1xxxxxxx stunnel[2362]: stunnel connected from 195.20.253.6:56899
May 22 10:12:46 s1xxxxxxx stunnel[2362]: SSL_accept: Peer suddenly disconnected
May 22 10:24:30 s1xxxxxxx proftpd[2398]: s1xxxxxxx.onlinehome-server.info (195.20.253.6[195.20.253.6]) - FTP session opened.
May 22 10:24:30 s1xxxxxxx proftpd[2398]: s1xxxxxxx.onlinehome-server.info (195.20.253.6[195.20.253.6]) - FTP session closed.
May 22 10:24:30 s1xxxxxxx stunnel[2403]: stunnel connected from 195.20.253.6:54339
May 22 10:24:30 s1xxxxxxx stunnel[2403]: SSL_accept: Peer suddenly disconnected
May 22 10:24:30 s1xxxxxxx stunnel[2401]: stunnel connected from 195.20.253.6:54644
May 22 10:24:30 s1xxxxxxx stunnel[2401]: SSL_accept: Peer suddenly disconnected
May 22 10:24:40 s1xxxxxxx proftpd[2405]: s1xxxxxxx.onlinehome-server.info (195.20.253.6[195.20.253.6]) - FTP session opened.
May 22 10:24:40 s1xxxxxxx proftpd[2405]: s1xxxxxxx.onlinehome-server.info (195.20.253.6[195.20.253.6]) - FTP session closed.
May 22 10:24:40 s1xxxxxxx stunnel[2409]: stunnel connected from 195.20.253.6:54802
May 22 10:24:40 s1xxxxxxx stunnel[2409]: SSL_accept: Peer suddenly disconnected
May 22 10:24:40 s1xxxxxxx stunnel[2407]: stunnel connected from 195.20.253.6:55113
May 22 10:24:40 s1xxxxxxx stunnel[2407]: SSL_accept: Peer suddenly disconnected
May 22 10:39:30 s1xxxxxxx stunnel[2442]: stunnel connected from 195.20.253.6:65180
May 22 10:39:30 s1xxxxxxx stunnel[2442]: SSL_accept: Peer suddenly disconnected
May 22 10:39:30 s1xxxxxxx proftpd[2438]: s1xxxxxxx.onlinehome-server.info (195.20.253.6[195.20.253.6]) - FTP session opened.
May 22 10:39:30 s1xxxxxxx proftpd[2438]: s1xxxxxxx.onlinehome-server.info (195.20.253.6[195.20.253.6]) - FTP session closed.
May 22 10:39:30 s1xxxxxxx stunnel[2440]: stunnel connected from 195.20.253.6:65491
May 22 10:39:30 s1xxxxxxx stunnel[2440]: SSL_accept: Peer suddenly disconnected
May 22 10:39:40 s1xxxxxxx proftpd[2446]: s1xxxxxxx.onlinehome-server.info (195.20.253.6[195.20.253.6]) - FTP session opened.
May 22 10:39:40 s1xxxxxxx proftpd[2446]: s1xxxxxxx.onlinehome-server.info (195.20.253.6[195.20.253.6]) - FTP session closed.
May 22 10:39:40 s1xxxxxxx stunnel[2448]: stunnel connected from 195.20.253.6:49496
May 22 10:39:40 s1xxxxxxx stunnel[2448]: SSL_accept: Peer suddenly disconnected
May 22 10:39:40 s1xxxxxxx stunnel[2450]: stunnel connected from 195.20.253.6:49185
May 22 10:39:40 s1xxxxxxx stunnel[2450]: SSL_accept: Peer suddenly disconnected

Für mich wäre es ersteinmal interessant zu wissen ob meine Annahme soweit stimmt - ohne mit dem Finger auf jemanden zeigen zu wollen!!

 

[danton]

Nein, die IP hat versucht, auch auf seinen Server zu verbinden...

 

[GwenDragon]

@Bitshock Kann es sein, dass du die Verbindungen, ob deine Dienste laufen, über 1&1 Monitoring überwachen lässt?

 

[BitShock]

richtig

@GwenDragon: Ja - korrekt.... Dann ist das die IP des WatchDog-Server von 1&1? (ware zumindest logisch)

Gibt es dann einen Grund warum der immer mit einem suddenly disconnected daher kommt? Hier ein zeitgleicher Mitschnitt aus der /var/log/warn - der spamt die damit ja gut voll...

May 22 09:57:36 s15207597 stunnel[2320]: SSL_accept: Peer suddenly disconnected
May 22 09:57:36 s15207597 stunnel[2318]: SSL_accept: Peer suddenly disconnected
May 22 09:57:46 s15207597 stunnel[2323]: SSL_accept: Peer suddenly disconnected
May 22 09:57:46 s15207597 stunnel[2325]: SSL_accept: Peer suddenly disconnected
May 22 10:12:36 s15207597 stunnel[2357]: SSL_accept: Peer suddenly disconnected
May 22 10:12:36 s15207597 stunnel[2355]: SSL_accept: Peer suddenly disconnected
May 22 10:12:46 s15207597 stunnel[2364]: SSL_accept: Peer suddenly disconnected
May 22 10:12:46 s15207597 stunnel[2362]: SSL_accept: Peer suddenly disconnected
May 22 10:24:30 s15207597 stunnel[2403]: SSL_accept: Peer suddenly disconnected
May 22 10:24:30 s15207597 stunnel[2401]: SSL_accept: Peer suddenly disconnected
May 22 10:24:40 s15207597 stunnel[2409]: SSL_accept: Peer suddenly disconnected
May 22 10:24:40 s15207597 stunnel[2407]: SSL_accept: Peer suddenly disconnected
May 22 10:39:30 s15207597 stunnel[2442]: SSL_accept: Peer suddenly disconnected
May 22 10:39:30 s15207597 stunnel[2440]: SSL_accept: Peer suddenly disconnected
May 22 10:39:40 s15207597 stunnel[2448]: SSL_accept: Peer suddenly disconnected
May 22 10:39:40 s15207597 stunnel[2450]: SSL_accept: Peer suddenly disconnected
May 22 10:54:30 s15207597 stunnel[2494]: SSL_accept: Peer suddenly disconnected
May 22 10:54:30 s15207597 stunnel[2492]: SSL_accept: Peer suddenly disconnected
May 22 10:54:40 s15207597 stunnel[2499]: SSL_accept: Peer suddenly disconnected
May 22 10:54:40 s15207597 stunnel[2501]: SSL_accept: Peer suddenly disconnected