D
Deleted member 14254
Guest
Hallo liebes Forum,
Habe bei meinem heutigen Check etwas komisches bemerkt:
Zunächst checke ich bei meinen Kontrollen logs wie:
Ich schaue nach, was mir iptables sagt. Ob Sperregeln aufgestellt wurden.
Alles negativ. Nirgendwo etwas verdächtiges.
Da Website usw noch nicht fertig sind, läuft lediglich ssh. Damit ich halt reinkomme in den Server.
Schutzmechanismen:
PubKey-Auth 16kbit-Schlüssel. Passphrase >32Zeichen...
Umgebogener Port
fail2ban
Auffälligkeiten NICHTS! (Beim Checken meine ich)
Schaute dann noch mit:
nach und entdecke dies:
Letzteres - das bin ICH... AAAAber... wer ist der andere???!!! Vor allem, wie kommt er an Status verbunden? Er kann nicht verbunden sein, da müsste er schon den private-Key meiner PubKey-Auth besitzen. Und das schließe ich mit großer Sicherheit aus. Ausserdem müsste er noch die Passphrase dafür haben... Auch schwer für ihn daran zu kommen, (weil ich diese selbstverständlich nirgends gespeichert habe)...
Zufall, das jemand versucht hat auf den Server zu kommen, aber dies nicht funktioniert hat? Nur warum steht dann in den Logs nichts? Und... warum Status "VERBUNDEN"??? Soll ich mir jetzt richtig fett Sorgen machen oder Schuss ins Blaue?
Edit: Auf die IP 83.2.47.78 hab ich mal eine Whois gestartet:
Habe bei meinem heutigen Check etwas komisches bemerkt:
Zunächst checke ich bei meinen Kontrollen logs wie:
Code:
/var/log/auth.log
/var/log/syslog
/var/log/messages
Ich schaue nach, was mir iptables sagt. Ob Sperregeln aufgestellt wurden.
Alles negativ. Nirgendwo etwas verdächtiges.
Da Website usw noch nicht fertig sind, läuft lediglich ssh. Damit ich halt reinkomme in den Server.
Schutzmechanismen:
PubKey-Auth 16kbit-Schlüssel. Passphrase >32Zeichen...
Umgebogener Port
fail2ban
Auffälligkeiten NICHTS! (Beim Checken meine ich)
Schaute dann noch mit:
Code:
netstat --tcp
netstat --udp
netstat -nelpt
nach und entdecke dies:
Code:
~ # netstat --tcp
Aktive Internetverbindungen (ohne Server)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 730512 0 servername.domain.tld:56085 static.83.2.47.78.c:ssh VERBUNDEN
tcp 0 208 servername.domain.tld:umgebogener Port pXXXXXXXX.dip0.t-:47223 VERBUNDEN
Letzteres - das bin ICH... AAAAber... wer ist der andere???!!! Vor allem, wie kommt er an Status verbunden? Er kann nicht verbunden sein, da müsste er schon den private-Key meiner PubKey-Auth besitzen. Und das schließe ich mit großer Sicherheit aus. Ausserdem müsste er noch die Passphrase dafür haben... Auch schwer für ihn daran zu kommen, (weil ich diese selbstverständlich nirgends gespeichert habe)...
Zufall, das jemand versucht hat auf den Server zu kommen, aber dies nicht funktioniert hat? Nur warum steht dann in den Logs nichts? Und... warum Status "VERBUNDEN"??? Soll ich mir jetzt richtig fett Sorgen machen oder Schuss ins Blaue?
Edit: Auf die IP 83.2.47.78 hab ich mal eine Whois gestartet:
Results for 83.2.47.78 :
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '83.2.47.0 - 83.2.47.255'
inetnum: 83.2.47.0 - 83.2.47.255
netname: PPUH-OLKO
descr: P.P.U.H OLKO sp. z.o.o
descr: ul.Kosciuszki 12-14
descr: 98-330 Pajeczno
country: PL
admin-c: TK2547-RIPE
tech-c: PK3309-RIPE
status: ASSIGNED PA
mnt-by: TPNET
source: RIPE # Filtered
person: Przemyslaw Kudyba
address: P.P.U.H "OLKO" sp. z.o.o.
address: ul. Zagrodowa 24
address: 98-355 Trebaczew
address: POLAND
phone: +48 606 502469
nic-hdl: PK3309-RIPE
mnt-by: TPNET
source: RIPE # Filtered
person: Tomasz Koperski
address: P.P.U.H "OLKO" sp. z.o.o
address: ul. Mickiewicza 106a
address: 98-330 Pajeczno
address: POLAND
phone: +48 34 3112749
phone: +48 502 553645
nic-hdl: TK2547-RIPE
mnt-by: TPNET
source: RIPE # Filtered
% Information related to '83.0.0.0/13AS5617'
route: 83.0.0.0/13
descr: TPNET
descr: for abuse: abuse@tpnet.pl
origin: AS5617
mnt-by: AS5617-MNT
source: RIPE # Filtered
Last edited by a moderator: