Viele illegale Loginversuche

[f.gruber]

Hallo,
ich sehe in /var/log/messages, dass es an unserem Schulserver jeden Tag viele illegale Loginversuche über SSH gibt. Die probieren einfach irgendwelche Benutzernamen. Muss mich das beunruhigen?

Kann man diesen Leuten das Handwerk legen, das heißt nachverfolgen wer dahintersteckt.

Außer der IP habe ich nichts. Mir fehlt das Knowhow, um über die IP weitere Informationen zu ermitteln.

Hier ein Auszug aus /var/log/messages mit dem Kommando

cat /var/log/messages | grep "Invalid user"

Dec 23 00:11:21 server sshd[1758]: Invalid user support from 201.244.188.202
Dec 23 00:35:37 server sshd[1811]: Invalid user support from 61.74.75.43
Dec 23 00:41:44 server sshd[1815]: Invalid user support from 116.55.226.131
Dec 23 00:53:42 server sshd[1844]: Invalid user support from 212.243.41.9
Dec 23 00:59:48 server sshd[1847]: Invalid user support from 62.77.221.54
Dec 23 01:24:21 server sshd[11527]: Invalid user patrick from 115.186.131.90
Dec 23 01:42:41 server sshd[22348]: Invalid user patrick from 194.78.48.108
Dec 23 01:48:54 server sshd[22374]: Invalid user patrick from 58.247.222.163
Dec 23 02:32:08 server sshd[22470]: Invalid user mike from 200.111.13.242
Dec 23 02:50:51 server sshd[22505]: Invalid user mike from 61.74.75.43
Dec 23 03:09:29 server sshd[22688]: Invalid user mike from 190.144.47.82
Dec 23 03:27:55 server sshd[22719]: Invalid user mike from 61.74.75.43
Dec 23 03:34:07 server sshd[22750]: Invalid user mike from 201.217.215.66
Dec 23 03:52:28 server sshd[22778]: Invalid user mike from 61.74.75.43
Dec 23 04:04:58 server sshd[22849]: Invalid user richard from 90.182.107.194
Dec 23 04:54:22 server sshd[22933]: Invalid user richard from 61.74.75.58
Dec 23 05:00:32 server sshd[22971]: Invalid user richard from 61.74.75.43
Dec 23 05:12:47 server sshd[22979]: Invalid user richard from 61.74.75.58
Dec 23 05:25:01 server sshd[23016]: Invalid user linda from 212.243.41.9
Dec 23 05:31:25 server sshd[23046]: Invalid user linda from 80.169.105.159
Dec 23 05:37:33 server sshd[23050]: Invalid user linda from 61.74.75.53
Dec 23 05:50:02 server sshd[23078]: Invalid user linda from 61.74.75.60
Dec 23 06:08:39 server sshd[23132]: Invalid user linda from 200.111.13.242
Dec 23 06:20:59 server sshd[23161]: Invalid user linda from 61.74.75.56
Dec 23 06:33:43 server sshd[23189]: Invalid user linda from 190.68.117.90
Dec 23 06:40:20 server sshd[23194]: Invalid user linda from 202.102.245.109
Dec 23 07:38:43 server sshd[23636]: Invalid user james from 41.250.251.158
Dec 23 08:00:37 server sshd[23851]: Invalid user james from 201.82.6.7
Dec 23 10:07:32 server sshd[24943]: Invalid user robert from 190.146.246.36
Dec 23 10:14:46 server sshd[24958]: Invalid user robert from 78.43.82.153
Dec 23 11:23:37 server sshd[25301]: Invalid user john from 212.243.41.9
Dec 23 11:40:14 server sshd[25334]: Invalid user john from 115.186.131.90
Dec 23 12:23:19 server sshd[25544]: Invalid user test from 59.46.39.204
Dec 23 12:23:24 server sshd[25546]: Invalid user test1 from 59.46.39.204
Dec 23 12:23:34 server sshd[25550]: Invalid user oracle from 59.46.39.204
Dec 23 12:23:43 server sshd[25552]: Invalid user nagios from 59.46.39.204
Dec 23 12:42:26 server sshd[25623]: Invalid user alex from 116.55.226.131
Dec 23 14:23:22 server sshd[25828]: Invalid user sarah from 82.106.226.77
Dec 23 14:38:20 server sshd[25855]: Invalid user sarah from 201.217.215.66
Dec 23 15:24:33 server sshd[25979]: Invalid user sarah from 200.111.13.242
Dec 23 15:32:25 server sshd[26033]: Invalid user sarah from 41.250.251.158
Dec 23 16:18:03 server sshd[26151]: Invalid user jason from 93.63.231.55
Dec 23 16:56:24 server sshd[26227]: Invalid user jason from 78.43.82.153
Dec 23 17:04:01 server sshd[26268]: Invalid user jason from 194.78.48.108
Dec 23 18:07:19 server sshd[26466]: Invalid user justin from 202.102.245.109
Dec 23 18:15:00 server sshd[26470]: Invalid user justin from 62.77.221.54
Dec 23 18:22:57 server sshd[26497]: Invalid user justin from 83.211.160.211
Dec 23 18:38:34 server sshd[26524]: Invalid user justin from 78.43.82.153
Dec 23 19:09:47 server sshd[26644]: Invalid user justin from 201.217.215.66
Dec 23 19:17:23 server sshd[26670]: Invalid user justin from 58.247.222.163
Dec 23 19:24:59 server sshd[26675]: Invalid user jessica from 194.51.12.238
Dec 23 19:40:27 server sshd[26701]: Invalid user jessica from 90.182.107.194
Dec 23 19:48:06 server sshd[26727]: Invalid user jessica from 80.169.105.159
Dec 23 20:03:45 server sshd[26764]: Invalid user jessica from 93.63.231.55
Dec 23 20:03:50 server sshd[26771]: Invalid user user from 84.234.27.173
Dec 23 20:03:54 server sshd[26787]: Invalid user user from 84.234.27.173
Dec 23 20:03:55 server sshd[26789]: Invalid user test from 84.234.27.173
Dec 23 20:03:57 server sshd[26797]: Invalid user test from 84.234.27.173
Dec 23 20:03:58 server sshd[26799]: Invalid user oracle from 84.234.27.173
Dec 23 20:03:58 server sshd[26801]: Invalid user nagios from 84.234.27.173
Dec 23 20:03:59 server sshd[26803]: Invalid user nagios from 84.234.27.173
Dec 23 20:03:59 server sshd[26805]: Invalid user nagios from 84.234.27.173
Dec 23 20:04:00 server sshd[26807]: Invalid user nagios from 84.234.27.173
Dec 23 20:26:52 server sshd[26850]: Invalid user jessica from 87.139.25.251
Dec 23 20:42:17 server sshd[26876]: Invalid user jessica from 190.146.246.36
Dec 23 21:12:51 server sshd[26937]: Invalid user peter from 201.244.188.202
Dec 23 21:43:31 server sshd[27026]: Invalid user peter from 200.13.253.122
Dec 23 21:59:10 server sshd[27132]: Invalid user peter from 58.247.222.163
Dec 23 22:22:36 server sshd[27215]: Invalid user peter from 212.243.41.9
Dec 23 23:02:08 server sshd[27310]: Invalid user sam from 83.211.160.211
Dec 23 23:25:31 server sshd[27336]: Invalid user sam from 194.51.12.238
Dec 23 23:56:53 server sshd[27386]: Invalid user sam from 83.211.160.211

 

[flobbie]

Hi,
suche mal im Forum nach SSH Port verlegen, sowie fail2ban.

Freundliche Grüße
flobbie

 

[Roger Wilco]

ich sehe in /var/log/messages, dass es an unserem Schulserver jeden Tag viele illegale Loginversuche über SSH gibt. Die probieren einfach irgendwelche Benutzernamen.

Hallo, willkommen im Internet, das gehört so, Suchfunktion benutzen, danke.

 

[wstuermer]

[OT]

Hier ein Auszug aus /var/log/messages mit dem Kommando

cat /var/log/messages | grep "Invalid user"

Damit geht auch gleich der "Useless use of cat"-Award an dich

grep "Invalid user" /var/log/messages

[/OT]

 

[Bluewind]

SSH-Keys nutzen, Passwörter verbieten, "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" (@botmacher: you fail) und glücklich sein.
Port kannst du lassen und fail2ban ist dann auch nutzlos.

 

[f.gruber]

[OT]

grep "Invalid user"

[/OT]

Na ja, wenn schon, dann aber bitte ohne Anführungszeichen:

grep Invalid User /var/log/messages

 

[wstuermer]

Nö. Dann versucht er "Invalid" in den Dateien "User" und "/var/log/messages" zu finden.
Das wirft dann folgerichtig eine Fehlermeldung, dass die Datei "User" nicht existiert und anschließend ganz, ganz viele Einträge aus der /var/log/messages, die auf "Invalid" matchen.

 

[f.gruber]

SSH-Keys nutzen

Ich verwende SSH-Keys zur Authentifizierung

Passwörter verbieten

In /etc/sshd.conf habe ich die Zeile stehen:

 PasswordAuthentication no

"Ciphers aes256-ctr,aes192-ctr,aes128-ctr" (@botmacher: you fail)

... verstehe nicht, was das bedeutet und was du damit meinst.

und glücklich sein.

Soll also heißen, man muss damit leben, dass täglich jemand hoffentlich erfolglos versucht, sich per SSH einzuloggen ... ?

 

[Bluewind]

... verstehe nicht, was das bedeutet und was du damit meinst.

Ich habe bisher noch keinen Bot gesehen der diese Ciphers kann. Liegt möglicherweise daran, dass die Bots libssh nutzen und der Support dafür einfach noch fehlt.

Soll also heißen, man muss damit leben, dass täglich jemand hoffentlich erfolglos versucht, sich per SSH einzuloggen ... ?

Das ist das normale Hintergrundrauschen. Wenn du aber eh SSH-Keys nutzt und keine Passwörter erlaubst können die Bots nicht durch. Also damit leben oder ignorieren.

 

[f.gruber]

Nö. Dann versucht er "Invalid" in den Dateien "User" und "/var/log/messages" zu finden.
Das wirft dann folgerichtig eine Fehlermeldung, dass die Datei "User" nicht existiert und anschließend ganz, ganz viele Einträge aus der /var/log/messages, die auf "Invalid" matchen.

... hätte ich auch gedacht, anscheinend verhält sich grep aber anders:

Wenn ich

grep "Invalid User" /var/log/messages

eingebe, bekomme ich gar nichts angezeigt.

Wenn ich aber

grep Invalid User /var/log/messages

eingebe, erhalte ich alle Zeilen, in denen "Invalid User" vorkommt.

 

[wstuermer]

Case Sensitive....
Wenn schon, dann grep auch nach "Invalid user", wie ich bereits schrieb
Dann klappts auch mit der Syntax.

 

[Bluewind]

Wenn ich aber

grep Invalid User /var/log/messages

eingebe, erhalte ich alle Zeilen, in denen "Invalid User" vorkommt.

Dann hast du eine merkwürdige Implementierung von grep.

> grep Invalid User /var/log/messages 
grep: User: No such file or directory
> grep --help
Usage: grep [OPTION]... PATTERN [FILE]...
> grep --version
GNU grep 2.5.4

PATTERN ist nur ein Argument und alles danach ist FILE.

 

[mkeil]

grep "bla bla" /var/log/messages

 

[f.gruber]

grep

Dann hast du eine merkwürdige Implementierung von grep.
...

PATTERN ist nur ein Argument und alles danach ist FILE.

OK, der Irrtum ist geklärt.

Mein Fehler war folgender:

Der gesuchte Text war "Invalid user" und nicht "Invalid User". Ich hatte irrtümlich "User" mit großem Anfangsbuchstaben geschrieben.

Die Suche nach "Invalid User" war daher natürlich erfolglos.

Grep hat mir also jede Zeile angezeigt, in der "Invalid" vorkommt. "User" wird von grep als Datei interpretiert, die nicht vorhanden ist und daher einfach übergangen wird. Als nächste Datei wird dann "/var/log/messages" für die Suche verwendet und daher erhalte ich genau das gewünschte Suchergebnis, was mich irritiert hat und gleichzeitig verhindert hat, dass ich mir den Suchstring genauer angeschaut habe ...

Also ich bin beruhigt und habe eine ganz "normale" Version von grep.