Vserver angriff.

[amnesie]

Also.

Ich habe wie Scaah meine sshd_config wie folgt angepasst.
...
Habe "services xinetd restart" durchgeführt, hat auch geklappt.

Der SSHD wird nie über den (x)inetd gestartet, sondern läuft stets als Daemon mit eigenem Startskript.

 

[marneus]

Soweit hab ich gar nicht gelesen. Danke Amnesie!

 

[rs3hc]

Der SSHD wird nie über den (x)inetd gestartet, sondern läuft stets als Daemon mit eigenem Startskript.

ja davon rede ich ja die ganze Zeit.. wie starte ich den nun unter RH9 neu??

weder '/etc/rc.d/init.d/sshd restart' oder '/etc/init.d/sshd restart' noch 'service sshd restart' funktioniert..

--------------------
@marneus : 0815 war ein fiktives beispiel

 

[marneus]

Ah, dann bin ich ja beruhigt. Geh mal in die beiden init Verzeichnis und lasse Dir mit ls -la ss* ausgeben, was da so rumliegt.

 

[rs3hc]

[root@/]# find / -name "ssh*"

/etc/pam.d/sshd
/etc/rc.d/init.d/sshd-keygen
/etc/ssh
/etc/ssh/ssh_config
/etc/ssh/sshd_config
/etc/ssh/ssh_host_dsa_key.pub
/etc/ssh/ssh_host_dsa_key
/etc/ssh/ssh_host_key.pub
/etc/ssh/ssh_host_key
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_rsa_key
/etc/xinetd.d/sshd
/usr/bin/ssh
/usr/bin/ssh-add
/usr/bin/ssh-agent
/usr/bin/ssh-keygen
/usr/bin/ssh-keyscan
/usr/lib/perl5/vendor_perl/5.8.0/URI/ssh.pm
/usr/libexec/openssh/ssh-keysign
/usr/sbin/sshd
/usr/share/man/man1/ssh.1.gz
/usr/share/man/man1/ssh-add.1.gz
/usr/share/man/man1/ssh-agent.1.gz
/usr/share/man/man1/ssh-keygen.1.gz
/usr/share/man/man1/ssh-keyscan.1.gz
/usr/share/man/man5/ssh_config.5.gz
/usr/share/man/man5/sshd_config.5.gz
/usr/share/man/man8/ssh-keysign.8.gz
/usr/share/man/man8/sshd.8.gz
/usr/share/vim/vim62/syntax/sshconfig.vim
/usr/share/vim/vim62/syntax/sshdconfig.vim
/var/empty/sshd

 

[rs3hc]

ok habs hinbekommen..

MOD: Full-Quote entfernt!

nach einem services xinet.d restart ging es

Danke

 

[Scaah]

Hallo Scaah,

schlauer wäre es einfach Port 22 aus der Konfig ganz raus zu nehmen.
Wo kein Dienst, da kein Risiko

ist schon längst geschehen
war auch nur am anfang zur sicherheit das ich mich nicht selber aussperre *g*

zum ssh starten...
hat da jemand nun ne lösung für RH9 gefunden?
ich hab da noch mal rum gesucht ..und auch nichts anderes gefunden auser über xinetd neu zu starten.

Scaah

 

[rs3hc]

bei RH9 ist das, wie ich gelesen habe, normalerweise über

services sshd restart

möglich.
Warum das nun bei S4Y nicht der Fall ist, kann ich auch nicht sagen.

 

[Commander_Keen]

Ist zwar schon alles gesagt worde um zu helfen, ich hätte da aber noch ein nettes Tool:


Server Monkeys - ELS (Easy Linux Security)

Gruß
Keen

 

[rs3hc]

Ok... eh hat doch nicht gereicht..
Heute nacht bekamm ich wieder Besuch, das ich durch einen neuen GB-Eintrag merkte.

Name: Breast
Nachricht: Hello, beautiful site! Keep up your good work!

Hat zufällig von euch jemand einen Link zu Python 2.4 als rpm für RH9?
Mein Vserver hat leider noch Version 2.2.2 ... S4Y halt..

EDIT ---------------------------------------------------------
Ok, habe fail2ban laufen.
Komme aber leider mit der Config nicht klar, werde aus der Readme nicht schlau.

@ v40:
Worauf muss ich genau bei der config achten?
Sollte ich lieber die Iptables oder die denyhosts config nutzen? Vor/Nachteil?

Bitte noch mal herzlichst um Hilfe.

EDIT ---------------------------------------------------------
Hier scheint was nicht zu stimmen.
fail2ban.log

2007-02-02 10:08:46,647 WARNING: No 'fwstart' defined in 'Apache'
2007-02-02 10:08:46,649 WARNING: No 'fwend' defined in 'Apache'
2007-02-02 10:08:46,649 WARNING: No 'fwcheck' defined in 'Apache'
2007-02-02 10:08:46,650 WARNING: No 'fwstart' defined in 'SSH'
2007-02-02 10:08:46,650 WARNING: No 'fwend' defined in 'SSH'
2007-02-02 10:08:46,654 WARNING: No 'fwcheck' defined in 'SSH'
2007-02-02 10:08:46,655 WARNING: No 'fwstart' defined in 'VSFTPD'
2007-02-02 10:08:46,657 WARNING: No 'fwend' defined in 'VSFTPD'
2007-02-02 10:08:46,657 WARNING: No 'fwcheck' defined in 'VSFTPD'
2007-02-02 10:09:55,687 WARNING: SSH: Ban (1200 s) 84.180.78.26
2007-02-02 10:09:55,887 ERROR: Unable to send mail to localhost:25 from fail2ban@xxxxx.xxxx to ['robert@xxxxx.xxx']: <smtplib.SMTPSenderRefused inst

 

[V40]

Hallo,

ich kann dir nicht so ganz folgen.

Was hat dein Gästebuch mit ssh zu tun?

 

[rs3hc]

Scheinbar suchen sich diese Spinner gezielt Seiten mit Joomla inkl. GB.
Jedesmal lassen sie so einen triumphalen Eintrag zurück.

Wichtig für mich ist nur (Wiederholung Seite vorher):

Hier scheint was nicht zu stimmen.
fail2ban.log

2007-02-02 10:08:46,647 WARNING: No 'fwstart' defined in 'Apache'
2007-02-02 10:08:46,649 WARNING: No 'fwend' defined in 'Apache'
2007-02-02 10:08:46,649 WARNING: No 'fwcheck' defined in 'Apache'
2007-02-02 10:08:46,650 WARNING: No 'fwstart' defined in 'SSH'
2007-02-02 10:08:46,650 WARNING: No 'fwend' defined in 'SSH'
2007-02-02 10:08:46,654 WARNING: No 'fwcheck' defined in 'SSH'
2007-02-02 10:08:46,655 WARNING: No 'fwstart' defined in 'VSFTPD'
2007-02-02 10:08:46,657 WARNING: No 'fwend' defined in 'VSFTPD'
2007-02-02 10:08:46,657 WARNING: No 'fwcheck' defined in 'VSFTPD'
2007-02-02 10:09:55,687 WARNING: SSH: Ban (1200 s) 84.180.78.26
2007-02-02 10:09:55,887 ERROR: Unable to send mail to localhost:25 from fail2ban@xxxxx.xxxx to ['robert@xxxxx.xxx']: <smtplib.SMTPSenderRefused inst

 

[matthi_]

Hi,
ich hatte die gleichen Warnugen nach der installation von fail2ban. Bei mir war das Prolem, dass ich die falsche .conf installiert hatte (denk ich). Statt fail2ban.conf.iptables hab ich die fail2ban.conf.shorewall genommen. Nachdem ich die richtige installiert habe hatte ich keine Fehlermeldung mehr.

Unable to send mail to localhost:25 from fail2ban@xxxxx.xxxx to ['robert@xx ....

liegt sicherlich an was anderem
Gruß, matthias

 

[rs3hc]

Nutze die denyhosts config.
Keine Ahnung woran das liegen könnte, google bringt auch nix nützliches.

 

[Slowman]

Bei Fail2Ban (ab 0.8) muss man die jail.conf ändern und nix weiter !