107 login attemps

[[tom]]

Hallo liebe Mitlesenden :)

Ich hatte in letzter Zeit mehrere Anmeldeversuche von unterschiedlichen IP Adressen (per SSH). Was alle gemeinsam hatten: Es waren genau 107 login Versuche. Es wurden dabei mehrere Standardusernamen (z. B. matt, test, irc, frank, georg, henry etc) benutzt und natürlich root.

Da ich keine Standardusernamen benutze und root login disabled ist, lässt mich das natürlich weiterhin gut schlafen. ;-)

Was mich aber interessieren würde: Weiß jemand, welches Script dafür benutzt wird?


[TOM]

[bungeebug]

HI,

soweit ich weiß, ist das ein Wurm der das verscuht. Andererseits sollte sofut wie jedes Scriptkiddie so ein Script schreiben können ....

Wenn du ganz sicher gehen willst, das sich nur bestimmt User einloggen können -> man sshd und da den Abschnitt über allowed und disaalowd Usernames lesen.

Und natürlich sichere PW und ab uns zu sollte man auch mal wechseln ... vorallem das Root PW.

[[tom]]

Wegen fehlgeschlagenen login attemps bekomm ich keine Schweißausbrüche

Mich interessiert nur, was dahinter steckt. Eine "Serie" ging zum Beispiel von einem Root Server von Strato aus. Auf diesem Server ist Suse installiert. Was soll denn das für ein Wurm sein?

[floschi]

Ich find das Stichwort selber nicht mehr, aber angefangen hat das ca. vor 9 Monaten... und mittlerweile sind die probierten Kombinationen eben mehr geworden.

Es gab dazu mal einen Thread hier, in dem ein interessanter Link auf eine ML war... :-/

[Joe User]

Ich wusste schon, warum ich ein Archiv wollte ;)
http://www.rootforum.org/forum/viewtopic.php?t=28704

[[tom]]

Danke :)

[alexander newald]

Bin gerade dabei ein kleines Perl Skript zu schreiben, welches die Logdateien überwacht und die IP gegebenfalls per IPTables blocked. Hat da wer Interesse dran?

[metrax]

ja, ich hätt interesse daran :), habe das problem auch schon seit wochen, aber mache mir deswegen keine gedanken, zumal debian nach ein paar versuchen eh, den host abweißt.

[sir tom]

So ein Script würde ich auch nutzen :)

[captaincrunch]

Mir stellt sich nur gerade irgendwie die Frage, wozu es da Perl sein muss...na ja, whatever. Ich muss es ja nicht verstehen.

[streicher]

Einen solchen Blocker als Perl Skript hat schon jemand geschrieben. Gefunden über den Link, den Joe User etwas weiter oben gepostet hat.

Quelle: http://dev.gentoo.org/~krispykringle/sshnotes.txt

SSHBlack -- Automatically BLACKLIST SSH attackers

[alexander newald]

Wie versprochen mein Skript. Vielleicht kanns ja jemand gebrauchen...

http://linux.newald.de/new_design/login_check.html

[ffl]

Dein Skript ist wunderbar! Habs bei mir schon als Daemon im Einsatz und es wird gleich per Default beim Boot gestartet.
Jetzt muss ich endlich nicht immer händisch die AllowUsers Variable bearbeiten :)

Super Arbeit!

Edit: Bin grad am Testen und froh, dass ich bei S eine RemoteConsole habe ;-)

[alexander newald]

Mojen,

wenn dir was auffällt, was besser zu machen wäre oder was fehlt - Mailen...

[ffl]

Oder ich schreibs hier rein:
Defaults für Debian: /var/log/auth.log und den Logger würd ich mit -p warning machen, dann landet es nämlich im Syslog statt in der Messages, die ich mir eh fast nie anschaue ;-)

Das ist jetzt spontan was mir vor dem Schlafengehen einfällt ;-)
Gruß

[alexander newald]

Mojen,

neue Version ist da, man kann jetzt das "Melden" auf meine Webseite anschalten (Standardmässig ausgeschaltet), soll mal so eine Art Frühwarnsystem werden.

[metrax]

Für welches System ist dein Script geschrieben?
Auf meinen Debian Sarge Kisten lauten die Logeinträge ganz anders. Ich werd das Script auf meine Logdateien anpassen und demnächst mal veröffentlichen.

[alexander newald]

Für ein LFS. Sollte aber auf jedem laufen, wenn man einfach den Logdateiname anpasst.

[metrax]

Ich werd das Script ein wenig umschreiben.
Folgende Dinge will ich einbauen:
- Custom Filters (Distributionsabhändige require-Dateien für die Erkennung der fehlerhaften Logins)
- und ein Array für die whitelist option, da wir mehrere Hosts haben, die unbeschadet bleiben sollen.
- irgendwas ist mir noch eingefallen, was ich aber gerade vergessen hab, wenns mir wieder einfällt ergänz ich es ;)

Werde dir das Script dann zuschicken oder hier posten.

Danke auf jedenfall für die super Vorlage!

[adjustman]

@Alexander Newald
ist das Script von Hause aus als Daemon konfiguriert?
Wenn ich es starte, sehe ich nix mit ps ax oder aux. :roll:

[alexander newald]

Ja, mit --daemon aufrufen (Das muss ich noch irgendwohin schreiben)

[adjustman]

(Das muss ich noch irgendwohin schreiben)

wär gut :) Danke
und wie sähe denn ein Stop Aufruf aus? (ich weiss, Prozess killen )

[alexander newald]

Einfach killen

[adjustman]

bei mir läuft das jetzt auch als Daemon.
Jetzt hat mir logcheck ca. 20 Versuche, sich als root einzuloggen, gemeldet.
Aber in /root/.check_ips/ip_block ist nix zu sehen? Was hab ich falsch gemacht? Danke für die Hilfe.

[alexander newald]

Waren die Versuche denn innerhalb des gewählten Zeitraums oder mit langer Pause dazwischen?