Ständig login-Versuche aus China, Japan und sogar Deutschland

bwar

Registered User
Hallo!



Auf allen meinen RootServern laufen ausschließlich TS-Server und Gameserver. Daher sollte ich eigendlich kein Ziel von Webspace-Hackern sein.

Ich habe nichtmal Mailserver usw.


Ich beobachte schon seit einer Woche, dass ständig Login-Versuche von chinesichen, japanischen und manchmal auch deutschen IPs ausgehen.

Der Höhepunkt ist, dass ständig versucht wurde, Mails von meinem vServer, auf dem Postfix installiert ist, per smtp zu senden.
Es fanden kein Versandt oder login-Versuche statt. Es stand nur in der log-Datei, dass immer wieder die Authentifizierung fehl schlug, wenn eine Mail per smtp versendet werden sollte. Noch geiler ist es, dass die IP bzw. Nachricht von einem Chinesischen Mail-Dienst ausging. Haben die keine eigenen Mail-Server???

Es kratzt mich wenig, weil ich sicherheitstechnisch abgesichert bin. Bis jetzt ist nichts schief gegangen.

Trotzdem......

Ich finde es trotzdem schlimm, dass sich jetzt chinesiche Behörden, Firmen und Hacker an europäischen Servern versuchen, um Mails zu versenden oder sonst was anzu stellen.

Gibts zufällig einen IP-Bereich, der ausschließlich für China, Japan und Russland bestimmt ist? Dann würde ich gerne versuchen, diesen Bereich zu blocken. Das ist ja nervig.


Noch schöner ist es, dass ein vServer bei server4you wahrscheinlich gehacked wurde. Es wurden unmengen ssh-login-Versuche über diesen vServer auf meinen Root-Server bei s4y gestartet. Oder vielleicht versucht es der Besitzer selber.



Ich habe mal vorsorglich eine Mail an s4y geschickt, die den vServer mal untersuchen sollen.


Fazit der ganzen Aktion: -> Meine log-Files für authd wächst jeden Tag um 500KB. Früher waren es nicht mal 1KB.



Macht jemand die gleichen Erfahrungen?
 
Hi, hab meinen SSH Port verlegt, so laufen die Script Kiddy Tool Attacken ins leere, recihte bei mir für ne Entlastung der Logdatei ;-)
 
Das was du schilderst ist leider trauriger Alltag, und wird mit zunehmenden vserver/dedicated Boom, und anhaltender Ahnungslosigkeit bzgl. Sicherheit nicht besser werden...
Dabei ist es egal, ob du jetzt die chinesischen Adressen blocken würdest, diese Loginversuche finden grundsätzlich von aller Welt aus Stadt, eben wo grad eine Maschine den Rootbesitzer gewechselt hat...

MfG
 
Hallo,

ich kenne das leidige Thema (wie alle hier) auch.
Ich persönlich tendiere dazu jeden bei seinem Provider zu melden.
Dauert zwar manchmal ein wenig bis man was von dem Provider hört, aber bislang habe ich von jedem eine Resonanz erhalten im Sinne von "Wir kümmern uns darum".

Klar sind das nur ein paar von vielen, aber jeder einzelne regt mich echt auf.

So das war jetz mein Senf dazu :D
 
v40 said:
Ich persönlich tendiere dazu jeden bei seinem Provider zu melden.
Dauert zwar manchmal ein wenig bis man was von dem Provider hört, aber bislang habe ich von jedem eine Resonanz erhalten im Sinne von "Wir kümmern uns darum".

Na ja, dann hast du glück! Den meisten Ausländischen Provider stöhren sich an Portscans nicht unbedingt. Ich habe einfach bestimmte Netze von meinen Servern ausgeschlossen!
 
AutoSSHBlocker

Hallo,

ich habe mitterweile den AutoSSH-Blocker laufen und mir gleich einen AutoFTP-Blocker daraus gebaut.

Oftmals ist ja nicht nur SSH sondern auch FTP ein beliebtes Ziel.

Ich pers. halte aber nichts davon, mittels IP-Tables zu arbeiten. Ich schicke die Leute auf das Gateway 127.0.0.1. Somit kann der User überhaupt nicht mehr zugreifen. Soll er auch nicht. Nach einer Woche werden die wieder entsperrt.

Ich habe hier auch viele Scans von STRATO-Usern gehabt (womöglich laufen hier Scripte auf nicht geschützten Maschinen), wo sich der Abuse-Kontakt aber immer sehr kooperativ gezeigt hat. Auch 1und1 war hier hervorzuheben.

Bei ausländischen Providern geht bei mir zwar auch eine automatisierte Email raus (auslesen durch WhoIS und den Abuse-contact übernehmen), aber die verlaufen im Sande, weil sich kein Schwein bei denen dafür interessiert.

Ich denke, Deutsche Provider müssen darauf reagieren und tun es auch. Frage ist natürlich wie der Provider es aufnimmt. Ich sende so ca. alle 2 Tage an meinen Hoster eine Email, der hat sich bisjetzt noch nicht beklagt.

Problem ist einfach, das viele sog. Admins versuchen, sich für 20,-€ einen tollen Root-Server hinzustellen und zu meinen, der wird schon dicht sein.

Weil auf dem Root massig Speicherplatz vorhanden ist und viel Bandbreite existiert, baller ich erst mal alles drauf was geht.

- Ein schönes PHP-Board
- Einen offenen FTP mit anonymous Login
- Einen offenen Apache
- SafeMode off
- SSH für jeden

und so weiter.

Jeder ist für seinen Root verantwortlich. Aber wenn die Leute, die gerade mal unter Windows die Maus schubsen können meinen, einen Root mit Linux zu brauchen, bitte schön.

Solange es diese "Admins" gibt, werden die Chinesen, Amis und Script-Kiddies immer wieder Open-Relays finden oder Server, wo die Ihre Filme ablegen und so weiter.
 
Könntest Du dann freundlicherweise den AutoSSH /AutoFTP Blocker zur Verfügung stellen / ne kurzanleitung schreiben? Ich denke mal das Du damit sehr vielen Leuten helfen würdest, ... immer noch besser als meckern ... denn jeder hier hat auch mal klein angefangen, nur jeder halt anders ;)
 
DerFalk said:
wie denn? mit iptables?
so z.b. ;)
iptables -A INPUT -s xxx.xxx.xxx.xxx -d 0/0 -j DROP
wäre eine Möglichkeit.

Ich ignoriere das ehrlich gesagt.. Und den Port verlegen muss deswegen auch nicht sein.

Den root-Login mit Passwort habe ich vorsorglich deaktiviert (/etc/shadow Den Hash durch ein * ersetzen root:*:.....) und ich benutze einen Private/Public-Key mit 3072 bits, der ab und zu auch mal erneuert wird! So geht das jetzt schon Jahre gut!

*teu*teu*teu* 3x auf Holz klopf
 
Last edited by a moderator:
h75 said:
so z.b. ;) wäre eine Möglichkeit.

Ich ignoriere das ehrlich gesagt.. Und den Port verlegen muss deswegen auch nicht sein.

Den root-Login mit Passwort habe ich vorsorglich deaktiviert (/etc/shadow Den Hash durch ein * ersetzen root:*:.....) und ich benutze einen Private/Public-Key mit 3072 bits, der ab und zu auch mal erneuert wird! So geht das jetzt schon Jahre gut!

*teu*teu*teu* 3x auf Holz klopf


Hallo,
wie kann man den root-Login deaktivieren? Dann kann doch gar nichts mehr als ROOT ausgeführt werden? wie macht man das denn?

Was ist ein Provate-Public-Key? Wie macht man das damit?
Würdest du das alles etwas genauer erklären ? Wäre fein!

Dankeschön!
Ralf
 
Ralfg said:
Hallo,
wie kann man den root-Login deaktivieren? Dann kann doch gar nichts mehr als ROOT ausgeführt werden? wie macht man das denn?
Hab ich doch genau in dem Post, den du zitiert hast, beschrieben. ;) Deaktivieren kannst du den Login via Passwort für den root in der Datei /etc/shadow :) Und zwar in der ersten Zeile den Passwort-Hash gegen ein Sternchen austauschen. Das was zwischen dem ersten und 2.ten Doppelpunkt steht. Ein Hash sieht z.b. so aus.
$1$ZHFgf65hz$kjf/56224hfgfh/
Und so sollte das dann aussehen, wenn du den Hash durch ein * ersetzt hast.
root:*:XXXX:X:XXXXX:X:::
XXX = Unkenntlich gemachte Zahlen. ;)

Aber mach das erst, wenn du dich fehlerfrei mit deinem Private/Public-Key-Paar anmelden kannst. ;) Sonst kommste als root nicht mehr drauf. ;)


Ralfg said:
Was ist ein Provate-Public-Key? Wie macht man das damit?
Würdest du das alles etwas genauer erklären ? Wäre fein!
Nachdem du das gemacht hast, wirst du nen Private/Public-Key brauchen, um dich mit root-Rechten am Server anzumelden. Deswegen solltest du dir nen
Private/Public-Key-Paar anlegen. :)

Wenn du es über Windows machst, dann benutze Puttygen. Hier habe ich vor einiger Zeit dazu eine Anleitung geschrieben. Ist nicht so schwer. :)

http://www.vbulletin-germany.com/forum/showpost.php?p=107728&postcount=4

Puttygen findest du auf der Website von Putty
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
Direkt-Download http://the.earth.li/~sgtatham/putty/latest/x86/puttygen.exe
 
Ich hab zum einen den SSH-Port auf einen anderen verlegt, zum anderen Root Access verboten ( in der sshd.conf, NICHT über ein zerstörtes Passwort! :rolleyes: ). Dann einen kryptischen Usernamen zum anmelden, ein noch kryptischers Passwort - und zum Administrieren via SU die Rechte besorgt. Das sollte eigentlich der normale Weg sein, wenn man keine Key-Auth verwendet...
 
Back
Top