107 login attemps

Lesenswerte Artikel, Anleitungen und Diskussionen
[tom]
RSAC
Posts: 671
Joined: 2003-01-08 20:10
Location: Berlin

107 login attemps

Post by [tom] » 2004-12-18 03:13

Hallo liebe Mitlesenden :)

Ich hatte in letzter Zeit mehrere Anmeldeversuche von unterschiedlichen IP Adressen (per SSH). Was alle gemeinsam hatten: Es waren genau 107 login Versuche. Es wurden dabei mehrere Standardusernamen (z. B. matt, test, irc, frank, georg, henry etc) benutzt und natürlich root.

Da ich keine Standardusernamen benutze und root login disabled ist, lässt mich das natürlich weiterhin gut schlafen. ;-)

Was mich aber interessieren würde: Weiß jemand, welches Script dafür benutzt wird?


[TOM]

bungeebug
Posts: 187
Joined: 2004-04-14 10:08

Re: 107 login attemps

Post by bungeebug » 2004-12-18 12:42

HI,

soweit ich weiß, ist das ein Wurm der das verscuht. Andererseits sollte sofut wie jedes Scriptkiddie so ein Script schreiben können ....

Wenn du ganz sicher gehen willst, das sich nur bestimmt User einloggen können -> man sshd und da den Abschnitt über allowed und disaalowd Usernames lesen.

Und natürlich sichere PW und ab uns zu sollte man auch mal wechseln ... vorallem das Root PW.

[tom]
RSAC
Posts: 671
Joined: 2003-01-08 20:10
Location: Berlin

Re: 107 login attemps

Post by [tom] » 2004-12-18 15:50

Wegen fehlgeschlagenen login attemps bekomm ich keine Schweißausbrüche :cool:

Mich interessiert nur, was dahinter steckt. Eine "Serie" ging zum Beispiel von einem Root Server von Strato aus. Auf diesem Server ist Suse installiert. Was soll denn das für ein Wurm sein?

floschi
Userprojekt
Userprojekt
Posts: 3388
Joined: 2002-07-18 08:13
Location: München

Re: 107 login attemps

Post by floschi » 2004-12-18 16:07

Ich find das Stichwort selber nicht mehr, aber angefangen hat das ca. vor 9 Monaten... und mittlerweile sind die probierten Kombinationen eben mehr geworden.

Es gab dazu mal einen Thread hier, in dem ein interessanter Link auf eine ML war... :-/

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: 107 login attemps

Post by Joe User » 2004-12-18 16:32

Ich wusste schon, warum ich ein Archiv wollte ;)
http://www.rootforum.org/forum/viewtopic.php?t=28704
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

[tom]
RSAC
Posts: 671
Joined: 2003-01-08 20:10
Location: Berlin

Re: 107 login attemps

Post by [tom] » 2004-12-18 17:20

Danke :)

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: 107 login attemps

Post by alexander newald » 2004-12-20 03:07

Bin gerade dabei ein kleines Perl Skript zu schreiben, welches die Logdateien überwacht und die IP gegebenfalls per IPTables blocked. Hat da wer Interesse dran?

metrax
RSAC
Posts: 232
Joined: 2003-02-22 22:51
Location: München / Berg-am-Laim

Re: 107 login attemps

Post by metrax » 2004-12-20 10:00

ja, ich hätt interesse daran :), habe das problem auch schon seit wochen, aber mache mir deswegen keine gedanken, zumal debian nach ein paar versuchen eh, den host abweißt.

sir tom
Posts: 70
Joined: 2003-01-07 09:42

Re: 107 login attemps

Post by sir tom » 2004-12-20 11:25

So ein Script würde ich auch nutzen :)

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: 107 login attemps

Post by captaincrunch » 2004-12-20 13:19

Mir stellt sich nur gerade irgendwie die Frage, wozu es da Perl sein muss...na ja, whatever. Ich muss es ja nicht verstehen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

streicher
Posts: 17
Joined: 2003-06-02 18:39

Re: 107 login attemps

Post by streicher » 2004-12-20 23:29

Einen solchen Blocker als Perl Skript hat schon jemand geschrieben. Gefunden über den Link, den Joe User etwas weiter oben gepostet hat.

Quelle: http://dev.gentoo.org/~krispykringle/sshnotes.txt

SSHBlack -- Automatically BLACKLIST SSH attackers

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: 107 login attemps

Post by alexander newald » 2004-12-26 16:23

Wie versprochen mein Skript. Vielleicht kanns ja jemand gebrauchen...

http://linux.newald.de/new_design/login_check.html

ffl
Userprojekt
Userprojekt
Posts: 269
Joined: 2002-10-23 08:28
Location: Karlsruhe

Re: 107 login attemps

Post by ffl » 2004-12-27 03:08

Dein Skript ist wunderbar! Habs bei mir schon als Daemon im Einsatz und es wird gleich per Default beim Boot gestartet.
Jetzt muss ich endlich nicht immer händisch die AllowUsers Variable bearbeiten :)

Super Arbeit!

Edit: Bin grad am Testen und froh, dass ich bei S eine RemoteConsole habe ;-)

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: 107 login attemps

Post by alexander newald » 2004-12-27 03:10

Mojen,

wenn dir was auffällt, was besser zu machen wäre oder was fehlt - Mailen...

ffl
Userprojekt
Userprojekt
Posts: 269
Joined: 2002-10-23 08:28
Location: Karlsruhe

Re: 107 login attemps

Post by ffl » 2004-12-27 03:14

Oder ich schreibs hier rein:
Defaults für Debian: /var/log/auth.log und den Logger würd ich mit -p warning machen, dann landet es nämlich im Syslog statt in der Messages, die ich mir eh fast nie anschaue ;-)

Das ist jetzt spontan was mir vor dem Schlafengehen einfällt ;-)
Gruß

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: 107 login attemps

Post by alexander newald » 2004-12-30 04:19

Mojen,

neue Version ist da, man kann jetzt das "Melden" auf meine Webseite anschalten (Standardmässig ausgeschaltet), soll mal so eine Art Frühwarnsystem werden.

metrax
RSAC
Posts: 232
Joined: 2003-02-22 22:51
Location: München / Berg-am-Laim

Re: 107 login attemps

Post by metrax » 2004-12-30 11:05

Für welches System ist dein Script geschrieben?
Auf meinen Debian Sarge Kisten lauten die Logeinträge ganz anders. Ich werd das Script auf meine Logdateien anpassen und demnächst mal veröffentlichen.

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: 107 login attemps

Post by alexander newald » 2004-12-30 12:11

Für ein LFS. Sollte aber auf jedem laufen, wenn man einfach den Logdateiname anpasst.

metrax
RSAC
Posts: 232
Joined: 2003-02-22 22:51
Location: München / Berg-am-Laim

Re: 107 login attemps

Post by metrax » 2004-12-30 13:50

Ich werd das Script ein wenig umschreiben.
Folgende Dinge will ich einbauen:
- Custom Filters (Distributionsabhändige require-Dateien für die Erkennung der fehlerhaften Logins)
- und ein Array für die whitelist option, da wir mehrere Hosts haben, die unbeschadet bleiben sollen.
- irgendwas ist mir noch eingefallen, was ich aber gerade vergessen hab, wenns mir wieder einfällt ergänz ich es ;)

Werde dir das Script dann zuschicken oder hier posten.

Danke auf jedenfall für die super Vorlage!

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: 107 login attemps

Post by adjustman » 2005-01-02 04:40

@Alexander Newald
ist das Script von Hause aus als Daemon konfiguriert?
Wenn ich es starte, sehe ich nix mit ps ax oder aux. :roll:

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: 107 login attemps

Post by alexander newald » 2005-01-02 05:29

Ja, mit --daemon aufrufen (Das muss ich noch irgendwohin schreiben)

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: 107 login attemps

Post by adjustman » 2005-01-02 06:06

Alexander Newald wrote:(Das muss ich noch irgendwohin schreiben)
wär gut :) Danke
und wie sähe denn ein Stop Aufruf aus? (ich weiss, Prozess killen :wink: )

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: 107 login attemps

Post by alexander newald » 2005-01-02 15:06

Einfach killen

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: 107 login attemps

Post by adjustman » 2005-01-06 06:09

bei mir läuft das jetzt auch als Daemon.
Jetzt hat mir logcheck ca. 20 Versuche, sich als root einzuloggen, gemeldet.
Aber in /root/.check_ips/ip_block ist nix zu sehen? Was hab ich falsch gemacht? Danke für die Hilfe.

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: 107 login attemps

Post by alexander newald » 2005-01-06 12:17

Waren die Versuche denn innerhalb des gewählten Zeitraums oder mit langer Pause dazwischen?