Wie aussagekräftig ist eine IP?

[perlitz]

Hallo,

dauernde Versuche per SSH oder sonstwie unseren Server zu hacken, bin ich ja inzwischen gewohnt. Doch inzwischen erstaunt mich, das sehr viele "Attacken" von einer bestimmten IP zu kommen scheinen. Und zwar nicht nur Attacken auf meinen, sondern auch auf andere Server...

Sieht dann z.B. so aus:

Code: Select all

Thu Nov 17 11:46:24 CET 2005
Nov 17 11:46:23 h1234 sshd[12302]: Illegal user ngozi from 134.169.26.1
Nov 17 11:46:23 h1234 sshd[12302]: Failed password for illegal user ngozi 
from 134.169.26.1 port 62676 ssh2
Nov 17 11:46:23 h1234 sshd[12304]: Illegal user nile from 134.169.26.1
Nov 17 11:46:23 h1234 sshd[12304]: Failed password for illegal user nile 
from 134.169.26.1 port 62726 ssh2
Nov 17 11:46:24 h1234 sshd[12306]: Illegal user niu from 134.169.26.1
Nov 17 11:46:24 h1234 sshd[12306]: Failed password for illegal user niu 
from 134.169.26.1 port 62775 ssh2
Nov 17 11:46:24 h1234 sshd[12308]: Illegal user niut from 134.169.26.1
Nov 17 11:46:24 h1234 sshd[12308]: Failed password for illegal user niut 
from 134.169.26.1 port 62824 ssh2
Nov 17 11:46:24 h1234 sshd[12310]: Illegal user nizsm from 134.169.26.1
Nov 17 11:46:24 h1234 sshd[12310]: Failed password for illegal user nizsm 
from 134.169.26.1 port 62878 ssh2

Und nach ner Woche wieder der selbe spass :roll:

Ich blocke zwar per Script SSH Login "versuche" wie den obigen (iptables), doch inzwischen frage ich mich, wie Sinnvoll es wäre ggfs. weitere Schritte einzuleiten. :roll:

Hier stellt sich die Frage, wie zuverlässig ist die IP? Wie hoch ist denn die Wahrscheinlichkeit, das die Angriffe tatsächlich von dieser IP kommen? Denn jeder weitere rechtliche Schritt, würde ja nur auf die IP (zumindest Anfangs) aufbauen können. :?

Also mal unabhängig davon, das vermutlich Server von denen Attacken kommen, ggfs. selbst gekapert sind... Was meint Ihr, wie nützlich ist eine IP aus den Logs? Habt Ihr vielleicht schonmal selbst versucht weitere Schritte einzuleiten? Wie sind eure Erfahrungen?

Gruß
Andreas

[aubergine]

Ja habe ich.
Feedback bekommst du wahrscheinlich keines, auser ein kurzes Danke da es sich hier um eine Deutsche Uni handelt.
Das Problem wird in Deutschland gehosteten Server normalerweise relativ schnell gelöst.

In deinem Fall mail an:

e-mail: H.Woehlbier@tu-bs.de
oder/und
e-mail: D.Schmidt@tu-bs.de

Dann dürfte sich das Problem mit diesem Server sehr schnell behoben haben...

Siehe auch:
http://ripe.net/fcgi-bin/whois?form_typ ... mit=Search


Grüße

aubergine

[hornox]

Wie hoch ist denn die Wahrscheinlichkeit, das die Angriffe tatsächlich von dieser IP kommen?

Es ist schwer IP Addressen bei TCP Verbindungen zu fälschen. Spätestens wenn noch ssh dazu kommt wird es IMHO unmöglich.
http://de.wikipedia.org/wiki/IP-Spoofing

[hotzi]

Gibts eigentlich Infos, durch welche Würmer, Rootkits, was auch immer, dies verursacht wird?

[niemand]

Ja, der Thread sollte sich mit der Suche finden lassen. Dort war u.A. auch ein Link zu einer Seite mit den Sourcen, afair.

Was manchmal recht interessant ist: Den betreffenden Server scannen und mal via telnet auf ungewöhnliche Ports connecten. Dort findet man öfter mal eine Rootshell und kann den Admin per motd aufmerksam machen ;)

cu

[hotzi]

Wer seine Pflichten so sträflich verletzt, dem hilft kein motd meh´r.