RootForum Community

Hallo, folgende Einträge habe ich in meinen Logs, versucht da jemand reinzukommen ?
Ich hoffe es kann mir jemand nen Tip geben, hatte vorher solche Einträge noch nicht !

Nov 20 17:52:23 a15169353 -- MARK --
Nov 20 17:40:17 a15169353 sshd[12098]: Failed password for illegal user test from ::ffff:131.111.66.206 port 56636 ssh2
Nov 20 17:40:17 a15169353 sshd[12098]: error: Could not get shadow information for NOUSER
Nov 20 17:40:17 a15169353 sshd[12098]: Illegal user test from ::ffff:131.111.66.206
Nov 20 17:40:16 a15169353 sshd[12096]: Failed password for root from ::ffff:131.111.66.206 port 56560 ssh2
Nov 20 17:40:15 a15169353 sshd[12094]: Failed password for root from ::ffff:131.111.66.206 port 56449 ssh2
Nov 20 17:40:14 a15169353 sshd[12092]: Failed password for root from ::ffff:131.111.66.206 port 56374 ssh2
Nov 20 17:40:14 a15169353 sshd[12090]: Failed password for illegal user user from ::ffff:131.111.66.206 port 56335 ssh2
Nov 20 17:40:14 a15169353 sshd[12090]: error: Could not get shadow information for NOUSER
Nov 20 17:40:14 a15169353 sshd[12090]: Illegal user user from ::ffff:131.111.66.206
Nov 20 17:40:14 a15169353 sshd[12086]: Failed password for illegal user admin from ::ffff:131.111.66.206 port 56278 ssh2
Nov 20 17:40:14 a15169353 sshd[12086]: error: Could not get shadow information for NOUSER
Nov 20 17:40:14 a15169353 sshd[12086]: Illegal user admin from ::ffff:131.111.66.206
Nov 20 17:40:13 a15169353 sshd[12081]: Failed password for illegal user admin from ::ffff:131.111.66.206 port 56225 ssh2
Nov 20 17:40:13 a15169353 sshd[12081]: error: Could not get shadow information for NOUSER
Nov 20 17:40:13 a15169353 sshd[12081]: Illegal user admin from ::ffff:131.111.66.206
Nov 20 17:40:13 a15169353 sshd[12075]: Failed password for illegal user guest from ::ffff:131.111.66.206 port 56179 ssh2
Nov 20 17:40:13 a15169353 sshd[12075]: error: Could not get shadow information for NOUSER
Nov 20 17:40:13 a15169353 sshd[12075]: Illegal user guest from ::ffff:131.111.66.206
Nov 20 17:40:13 a15169353 sshd[12073]: Failed password for illegal user test from ::ffff:131.111.66.206 port 56108 ssh2
Nov 20 17:40:13 a15169353 sshd[12073]: error: Could not get shadow information for NOUSER
Nov 20 17:40:13 a15169353 sshd[12073]: Illegal user test from ::ffff:131.111.66.206
Nov 20 17:32:24 a15169353 -- MARK --
Nov 20 17:17:05 a15169353 root: spamd starting
Nov 20 17:12:24 a15169353 -- MARK --
Nov 20 17:02:00 a15169353 PAM-warn[909]: function=[pam_sm_acct_mgmt] service=[smtp] terminal=[<unknown>] user=[web15p1] ruser=[<unknown>] rhost=[<unknown>]
Nov 20 17:02:00 a15169353 PAM-warn[909]: function=[pam_sm_authenticate

MasterChief wrote:Hallo, folgende Einträge habe ich in meinen Logs, versucht da jemand reinzukommen ?

Ja, das ist IMHO ein wurm, habe diese Einträge auch haufenweise.

Boardsuche nutzen, das Thema hatten wir mitlerweile mehr als häufig...

Ich habe mittlerweile den ssh-Port verschoben und seitdem selige Ruhe.
Ist natürlich kein Sicherheitsgewinn, aber ein enormer Gewinn an Komfort, da die ganzen Würmer und Deppentools nicht mehr funktionieren. Kann ich im Endeffekt nur empfehlen, da kann man sich dann auf die echten Attacken konzentrieren.

Hi LamBras,

wie hast Du den Port verschoben (bzw. welche Dateien müssen geändert werden)? Und mit welchem Prog logst Du Dich auf dem Server ein?

Gruß
Fry

Den SSH Port zu verschieben ist mittlerweile (fast) die erste Action die ich bei einem neuen / neueingerichteten Server mache :roll:

Danke für die konstruktiven Beiträge! (Vor allem Sir Tom)

Ich verbiete als erstes root-Login. Ganz auf den Kopf gefallen bin ich also wohl nicht.