Server gehackt?

[robind]

Hallo.
Ich habe grade wegen meinem Mail-Problem, was ich auch hier im Forum gepostet hab die Datei /var/log/messages angeguckt.. Dabei bin ich auf merkwürdige Einträge gestoßen:

Ein Auszug:

Jan 14 20:30:56 robindouglas sshd[32239]: Invalid user ligo from 72.36.139.154
Jan 14 20:30:58 robindouglas sshd[32244]: Invalid user admdbsrv from 72.36.139.154
Jan 14 20:30:59 robindouglas sshd[32250]: Invalid user rationale from 72.36.139.154
Jan 14 20:31:00 robindouglas sshd[32254]: Invalid user math from 72.36.139.154
Jan 14 20:31:01 robindouglas sshd[32260]: Invalid user math from 72.36.139.154
Jan 14 20:31:03 robindouglas sshd[32264]: Invalid user interact from 72.36.139.154
Jan 14 20:31:04 robindouglas sshd[32268]: Invalid user cubic from 72.36.139.154
Jan 14 20:31:10 robindouglas sshd[32290]: Invalid user patrick from 72.36.139.154
Jan 14 20:31:12 robindouglas sshd[32296]: Invalid user patrick from 72.36.139.154
Jan 14 20:31:13 robindouglas sshd[32300]: Invalid user patrick from 72.36.139.154
Jan 14 20:31:14 robindouglas sshd[32305]: Invalid user http from 72.36.139.154

Heißt das, dass jmd. versucht hat den Server zu hacken? Was empfehlt ihr mir: eine Neuinstallation? Oder ist das eher unbedenklich?

LG; Robin

 

[Briese]

Hallo,
bitte mal die Boardsuche nutzen und:

Bruce force Attacken

eingeben.

 

[LinuxAdmin]

Diese Meldungen sind leider völlig "normal" -- da versucht jemand mit verschiedenen Standard-Passworten bei Dir einzubrechen. Solange Du ausschliesslich sichere (lang, keine exisitierenden Worte, Sonderzeichen) Passworte verwendest oder Login nur über ssh-Keys zulässt, ist das kein Problem.
Wenn Dich nervt, dass Deine Logfiles mit dem Mist überquellen, solltest Du hier im Forum nach "ssh Port verlegen" suchen.

Viele Grüße,
LinuxAdmin

 

[robind]

Hallo.
Vielen Dank für eure schnellen Antworten. Ich weiß jetzt nur nicht was ich machen soll, da ich nicht weiß, ob der Angreifer reingekommen ist und wenn ja ob was verändert wurde. Ist vielleicht eine Neuinstallation angesagt? Weil interessanter Weiße geht der Maildienst nicht richtig (siehe entsprechenden Thread).

LG; Robin

 

[Mordor]

Solange da immer invalid User dahinter steht, kannst du davon ausgehen, dass er nicht rein gekommen ist. Wenn dann müsstest du die Logfiles durchsuchen, ob irgendwo ein Einbruch stattgefunden hat.

Wie meine Vorschreiber ja schon geschrieben haben, ist dass was du gepostet hast nur ein Angriff, und noch kein Einbruch.

 

[charli]

Hallo,

Ich weiß jetzt nur nicht was ich machen soll

nichts; außer den üblichen Sicherheitsupdates.

Die Usernamen der Versuche sollte man sich durchaus angucken, die werden auch von anderen verwendet. Folglich sollte man diese Usernamen nicht auf dem Server haben bzw wenn unvermeidbar keinen SSH-Login zulassen.

Du kannst den SSH-Port verlegen, dann werden die Einträge weniger. Bringt aber keine zusätzliche Sicherheit, sondern nur kleinere Logfiles.