Root zugriff aus dem t-online Netz

Rund um die Sicherheit des Systems und die Applikationen
astrid
Posts: 7
Joined: 2003-06-27 09:08

Root zugriff aus dem t-online Netz

Post by astrid » 2003-08-07 10:21

In log habe ich gefunden:
Aug 5 13:16:46 confixxlight sshd[4147]: Accepted password for ROOT from
::ffff:1.2.3.4 port 4585 ssh2
Das ist laut http://www.webhits.de/visualroute/
eine IP der Telekom p508662....

Nun habe ich die Uhrzeit und IP, an wen wende ich mich?

Der Besucher hat ca. 10 popper Aufrufe, ich nehme an, der hat die mails durchgesucht. Oder was bedeutet popper?

Gibt es ein Suchtool mit dem ich alle alle alten messages nach der IP Nummer durchwühlen kann?
Danke, Astrid

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Root zugriff aus dem t-online Netz

Post by captaincrunch » 2003-08-07 10:26

Gegenfrage : bist du vielleicht selbst T-Offline-Kundin ? Könnte es sein, dass du dich auf der Kiste eingeloggt hast ?

Desweiteren : root-Logins per ssh sollten grundsätzlich nicht zugelassen werden.
Gibt es ein Suchtool mit dem ich alle alle alten messages nach der IP Nummer durchwühlen kann?
grep, bzw. zgrep für bereits gezippte Logfiles.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

astrid
Posts: 7
Joined: 2003-06-27 09:08

Re: Root zugriff aus dem t-online Netz

Post by astrid » 2003-08-07 11:28

Ob ich es selbst war?
Die Uhrzeit spricht dafür.
Lässt sich nicht mehr klären. Ich wechsele sowieso gerade den Server und möchte den neuen sauber beziehen.

Solche Einträge haben mich verrückt gemacht:
[1.2.3.4]) - FTP session opened.
[1.2.3.4]) - SECURITY VIOLATION: root login attempted.
[1.2.3.4]) - FTP session closed.
Mit t-online Nummer sowie IP.
Soll aber nicht strafbar sein - habe ich hier gelesen.
Danke, Astrid

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Root zugriff aus dem t-online Netz

Post by captaincrunch » 2003-08-07 11:30

Lässt sich nicht mehr klären. Ich wechsele sowieso gerade den Server und möchte den neuen sauber beziehen.
In dem Fall solltest du ohnehin einen komplett neuen Satz Passwörter anlegen.
Solche Einträge haben mich verrückt gemacht:
[1.2.3.4]) - FTP session opened.
[1.2.3.4]) - SECURITY VIOLATION: root login attempted.
[1.2.3.4]) - FTP session closed.
Mit t-online Nummer sowie IP.
Ist das die gleiche IP wie die, die sich als root eingeloggt hat ? Der Versuch aus dem Eintrag ist ohnehin gescheitert, machen wirst du da kaum was können.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: Root zugriff aus dem t-online Netz

Post by floschi » 2003-08-07 11:30

Hm, das können auch ganz einfach Versuche von Sonstwem sein, ob der Admin (die Admine) so nachlässig war und den User root ein Login per FTP erlaubt hat - und dann natürlich das durchprobieren.

Davon habe ich tausende in meinen Logs, lauter nervige Skriptkiddies ;)

majortermi
Userprojekt
Userprojekt
Posts: 916
Joined: 2002-06-17 16:09

Re: Root zugriff aus dem t-online Netz

Post by majortermi » 2003-08-08 01:38

CaptainCrunch wrote:Desweiteren : root-Logins per ssh sollten grundsätzlich nicht zugelassen werden.
Das sehe ich anders: RSA Public-Key Authentifizierung (mit 2048 Bit Schlüsseln) kann als sicher angesehen werden. Aber auch schon ein gutes Passwort schützt i.d.R. vor unerwünschtem Besuch.
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Root zugriff aus dem t-online Netz

Post by captaincrunch » 2003-08-08 07:33

OK, dann lass mich die Aussage erweitern : root-Zugang sollte grundsätzlich nicht erlaubt sein, und der Zugang des Users sollte ausschleißlich per PubKey-Auth zugelassen werden ... ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

mstuebner
Posts: 184
Joined: 2002-06-19 00:05
Location: 84424 Isen

Re: Root zugriff aus dem t-online Netz

Post by mstuebner » 2003-08-08 08:43

CaptainCrunch wrote:OK, dann lass mich die Aussage erweitern : root-Zugang sollte grundsätzlich nicht erlaubt sein, und der Zugang des Users sollte ausschleißlich per PubKey-Auth zugelassen werden ... ;)
Prinzipiell ACK, aber das bedingt dann dass Du immer von Deiner eigenen EDV aus zugreifst. Oder übersehe ich was?

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Root zugriff aus dem t-online Netz

Post by captaincrunch » 2003-08-08 08:54

Selbst auf die billigsten USB-Sticks passen heutzutage schon ziemlich viele SSH-Keys drauf ... selbst dann sollte für Putty und / oder WinSCP (wer denn unbedingt Windoof nutzen muss) noch mehr als genug Platz sein. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Root zugriff aus dem t-online Netz

Post by dodolin » 2003-08-08 09:56

Selbst auf die billigsten USB-Sticks passen heutzutage schon ziemlich viele SSH-Keys drauf
Also eine altmodische Diskette tuts dafür sicher auch.

mstuebner
Posts: 184
Joined: 2002-06-19 00:05
Location: 84424 Isen

Re: Root zugriff aus dem t-online Netz

Post by mstuebner » 2003-08-08 11:29

CaptainCrunch wrote:Selbst auf die billigsten USB-Sticks passen heutzutage schon ziemlich viele SSH-Keys drauf ... selbst dann sollte für Putty und / oder WinSCP (wer denn unbedingt Windoof nutzen muss) noch mehr als genug Platz sein. ;)
Und damit ab ins nächste Internetcafe? Ich hätte da meine Zweifel ob die einen damit ranlassen.

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Root zugriff aus dem t-online Netz

Post by dodolin » 2003-08-08 12:38

Und damit ab ins nächste Internetcafe?
Ich würde mich von einem Internetcaffee nie auf irgendeinem meiner Rechner einloggen. Solche Rechner sind prinzipiell als nicht vertrauenswürdig einzustufen, oder kannst du sicher ausschließen, dass dein Vorgänger nicht einen Keylogger installiert hat, der fleißig alles an ihn mailt?

SSH und andere sensitive Dinge sollte man nur von vertrauenswürdigen Rechnern aus nutzen.

mstuebner
Posts: 184
Joined: 2002-06-19 00:05
Location: 84424 Isen

Re: Root zugriff aus dem t-online Netz

Post by mstuebner » 2003-08-09 12:07

dodolin wrote:
Und damit ab ins nächste Internetcafe?
Ich würde mich von einem Internetcaffee nie auf irgendeinem meiner Rechner einloggen. Solche Rechner sind prinzipiell als nicht vertrauenswürdig einzustufen, oder kannst du sicher ausschließen, dass dein Vorgänger nicht einen Keylogger installiert hat, der fleißig alles an ihn mailt?

SSH und andere sensitive Dinge sollte man nur von vertrauenswürdigen Rechnern aus nutzen.
Das ist sicher richtig, und auch war ich noch nie darauf angewiesen. Aber verrate mir doch mal was Du an meiner Stelle machen würdest, wenn Du ab Anfang September zwei Wochen in Ã?gypten bist und mal ran musst?

rootmaster
Posts: 483
Joined: 2002-04-28 13:30
Location: Hannover

Re: Root zugriff aus dem t-online Netz

Post by rootmaster » 2003-08-09 12:23

mstuebner wrote: Das ist sicher richtig, und auch war ich noch nie darauf angewiesen. Aber verrate mir doch mal was Du an meiner Stelle machen würdest, wenn Du ab Anfang September zwei Wochen in Ã?gypten bist und mal ran musst?
einmalpasswörter ;)

http://www.cl.cam.ac.uk/~mgk25/otpw.html

"back to the roots"