klopft da wer an ? Hilfe !

Rund um die Sicherheit des Systems und die Applikationen
masterchief
Posts: 11
Joined: 2004-10-27 17:50

klopft da wer an ? Hilfe !

Post by masterchief » 2004-11-20 18:06

Hallo, folgende Einträge habe ich in meinen Logs, versucht da jemand reinzukommen ?
Ich hoffe es kann mir jemand nen Tip geben, hatte vorher solche Einträge noch nicht !

Nov 20 17:52:23 a15169353 -- MARK --
Nov 20 17:40:17 a15169353 sshd[12098]: Failed password for illegal user test from ::ffff:131.111.66.206 port 56636 ssh2
Nov 20 17:40:17 a15169353 sshd[12098]: error: Could not get shadow information for NOUSER
Nov 20 17:40:17 a15169353 sshd[12098]: Illegal user test from ::ffff:131.111.66.206
Nov 20 17:40:16 a15169353 sshd[12096]: Failed password for root from ::ffff:131.111.66.206 port 56560 ssh2
Nov 20 17:40:15 a15169353 sshd[12094]: Failed password for root from ::ffff:131.111.66.206 port 56449 ssh2
Nov 20 17:40:14 a15169353 sshd[12092]: Failed password for root from ::ffff:131.111.66.206 port 56374 ssh2
Nov 20 17:40:14 a15169353 sshd[12090]: Failed password for illegal user user from ::ffff:131.111.66.206 port 56335 ssh2
Nov 20 17:40:14 a15169353 sshd[12090]: error: Could not get shadow information for NOUSER
Nov 20 17:40:14 a15169353 sshd[12090]: Illegal user user from ::ffff:131.111.66.206
Nov 20 17:40:14 a15169353 sshd[12086]: Failed password for illegal user admin from ::ffff:131.111.66.206 port 56278 ssh2
Nov 20 17:40:14 a15169353 sshd[12086]: error: Could not get shadow information for NOUSER
Nov 20 17:40:14 a15169353 sshd[12086]: Illegal user admin from ::ffff:131.111.66.206
Nov 20 17:40:13 a15169353 sshd[12081]: Failed password for illegal user admin from ::ffff:131.111.66.206 port 56225 ssh2
Nov 20 17:40:13 a15169353 sshd[12081]: error: Could not get shadow information for NOUSER
Nov 20 17:40:13 a15169353 sshd[12081]: Illegal user admin from ::ffff:131.111.66.206
Nov 20 17:40:13 a15169353 sshd[12075]: Failed password for illegal user guest from ::ffff:131.111.66.206 port 56179 ssh2
Nov 20 17:40:13 a15169353 sshd[12075]: error: Could not get shadow information for NOUSER
Nov 20 17:40:13 a15169353 sshd[12075]: Illegal user guest from ::ffff:131.111.66.206
Nov 20 17:40:13 a15169353 sshd[12073]: Failed password for illegal user test from ::ffff:131.111.66.206 port 56108 ssh2
Nov 20 17:40:13 a15169353 sshd[12073]: error: Could not get shadow information for NOUSER
Nov 20 17:40:13 a15169353 sshd[12073]: Illegal user test from ::ffff:131.111.66.206
Nov 20 17:32:24 a15169353 -- MARK --
Nov 20 17:17:05 a15169353 root: spamd starting
Nov 20 17:12:24 a15169353 -- MARK --
Nov 20 17:02:00 a15169353 PAM-warn[909]: function=[pam_sm_acct_mgmt] service=[smtp] terminal=[<unknown>] user=[web15p1] ruser=[<unknown>] rhost=[<unknown>]
Nov 20 17:02:00 a15169353 PAM-warn[909]: function=[pam_sm_authenticate

chris76
Moderator
Moderator
Posts: 1878
Joined: 2003-06-27 14:37
Location: Germering

Re: klopft da wer an ? Hilfe !

Post by chris76 » 2004-11-20 18:39

MasterChief wrote:Hallo, folgende Einträge habe ich in meinen Logs, versucht da jemand reinzukommen ?
Ja, das ist IMHO ein wurm, habe diese Einträge auch haufenweise.
Gruß Christian

BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: klopft da wer an ? Hilfe !

Post by Joe User » 2004-11-20 20:51

Boardsuche nutzen, das Thema hatten wir mitlerweile mehr als häufig...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

lambras
Posts: 90
Joined: 2002-05-29 16:35
Location: Frankfurt am Main

Re: klopft da wer an ? Hilfe !

Post by lambras » 2004-11-21 12:46

Ich habe mittlerweile den ssh-Port verschoben und seitdem selige Ruhe.
Ist natürlich kein Sicherheitsgewinn, aber ein enormer Gewinn an Komfort, da die ganzen Würmer und Deppentools nicht mehr funktionieren. Kann ich im Endeffekt nur empfehlen, da kann man sich dann auf die echten Attacken konzentrieren.

mr. fry
Posts: 39
Joined: 2003-06-19 01:50
Location: /chroot

Re: klopft da wer an ? Hilfe !

Post by mr. fry » 2004-11-30 10:41

Hi LamBras,

wie hast Du den Port verschoben (bzw. welche Dateien müssen geändert werden)? Und mit welchem Prog logst Du Dich auf dem Server ein?

Gruß
Fry

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: klopft da wer an ? Hilfe !

Post by Joe User » 2004-11-30 10:55

PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

sir tom
Posts: 70
Joined: 2003-01-07 09:42

Re: klopft da wer an ? Hilfe !

Post by sir tom » 2004-11-30 15:30

Den SSH Port zu verschieben ist mittlerweile (fast) die erste Action die ich bei einem neuen / neueingerichteten Server mache :roll:

mr. fry
Posts: 39
Joined: 2003-06-19 01:50
Location: /chroot

Re: klopft da wer an ? Hilfe !

Post by mr. fry » 2004-11-30 20:06

Danke für die konstruktiven Beiträge! (Vor allem Sir Tom)

Ich verbiete als erstes root-Login. Ganz auf den Kopf gefallen bin ich also wohl nicht.