RootForum Community

Hallo liebe Mitlesenden :)

Ich hatte in letzter Zeit mehrere Anmeldeversuche von unterschiedlichen IP Adressen (per SSH). Was alle gemeinsam hatten: Es waren genau 107 login Versuche. Es wurden dabei mehrere Standardusernamen (z. B. matt, test, irc, frank, georg, henry etc) benutzt und natürlich root.

Da ich keine Standardusernamen benutze und root login disabled ist, lässt mich das natürlich weiterhin gut schlafen. ;-)

Was mich aber interessieren würde: Weiß jemand, welches Script dafür benutzt wird?


[TOM]

HI,

soweit ich weiß, ist das ein Wurm der das verscuht. Andererseits sollte sofut wie jedes Scriptkiddie so ein Script schreiben können ....

Wenn du ganz sicher gehen willst, das sich nur bestimmt User einloggen können -> man sshd und da den Abschnitt über allowed und disaalowd Usernames lesen.

Und natürlich sichere PW und ab uns zu sollte man auch mal wechseln ... vorallem das Root PW.

Wegen fehlgeschlagenen login attemps bekomm ich keine Schweißausbrüche

Mich interessiert nur, was dahinter steckt. Eine "Serie" ging zum Beispiel von einem Root Server von Strato aus. Auf diesem Server ist Suse installiert. Was soll denn das für ein Wurm sein?

Ich find das Stichwort selber nicht mehr, aber angefangen hat das ca. vor 9 Monaten... und mittlerweile sind die probierten Kombinationen eben mehr geworden.

Es gab dazu mal einen Thread hier, in dem ein interessanter Link auf eine ML war... :-/

Ich wusste schon, warum ich ein Archiv wollte ;)
http://www.rootforum.org/forum/viewtopic.php?t=28704

Danke :)

Bin gerade dabei ein kleines Perl Skript zu schreiben, welches die Logdateien überwacht und die IP gegebenfalls per IPTables blocked. Hat da wer Interesse dran?

ja, ich hätt interesse daran :), habe das problem auch schon seit wochen, aber mache mir deswegen keine gedanken, zumal debian nach ein paar versuchen eh, den host abweißt.

So ein Script würde ich auch nutzen :)

Mir stellt sich nur gerade irgendwie die Frage, wozu es da Perl sein muss...na ja, whatever. Ich muss es ja nicht verstehen.

Einen solchen Blocker als Perl Skript hat schon jemand geschrieben. Gefunden über den Link, den Joe User etwas weiter oben gepostet hat.

Quelle: http://dev.gentoo.org/~krispykringle/sshnotes.txt

SSHBlack -- Automatically BLACKLIST SSH attackers

Wie versprochen mein Skript. Vielleicht kanns ja jemand gebrauchen...

http://linux.newald.de/new_design/login_check.html

Dein Skript ist wunderbar! Habs bei mir schon als Daemon im Einsatz und es wird gleich per Default beim Boot gestartet.
Jetzt muss ich endlich nicht immer händisch die AllowUsers Variable bearbeiten :)

Super Arbeit!

Edit: Bin grad am Testen und froh, dass ich bei S eine RemoteConsole habe ;-)

Mojen,

wenn dir was auffällt, was besser zu machen wäre oder was fehlt - Mailen...

Oder ich schreibs hier rein:
Defaults für Debian: /var/log/auth.log und den Logger würd ich mit -p warning machen, dann landet es nämlich im Syslog statt in der Messages, die ich mir eh fast nie anschaue ;-)

Das ist jetzt spontan was mir vor dem Schlafengehen einfällt ;-)
Gruß

Mojen,

neue Version ist da, man kann jetzt das "Melden" auf meine Webseite anschalten (Standardmässig ausgeschaltet), soll mal so eine Art Frühwarnsystem werden.

Für welches System ist dein Script geschrieben?
Auf meinen Debian Sarge Kisten lauten die Logeinträge ganz anders. Ich werd das Script auf meine Logdateien anpassen und demnächst mal veröffentlichen.

Für ein LFS. Sollte aber auf jedem laufen, wenn man einfach den Logdateiname anpasst.

Ich werd das Script ein wenig umschreiben.
Folgende Dinge will ich einbauen:
- Custom Filters (Distributionsabhändige require-Dateien für die Erkennung der fehlerhaften Logins)
- und ein Array für die whitelist option, da wir mehrere Hosts haben, die unbeschadet bleiben sollen.
- irgendwas ist mir noch eingefallen, was ich aber gerade vergessen hab, wenns mir wieder einfällt ergänz ich es ;)

Werde dir das Script dann zuschicken oder hier posten.

Danke auf jedenfall für die super Vorlage!

@Alexander Newald
ist das Script von Hause aus als Daemon konfiguriert?
Wenn ich es starte, sehe ich nix mit ps ax oder aux. :roll:

Ja, mit --daemon aufrufen (Das muss ich noch irgendwohin schreiben)

Alexander Newald wrote:(Das muss ich noch irgendwohin schreiben)

wär gut :) Danke
und wie sähe denn ein Stop Aufruf aus? (ich weiss, Prozess killen )

Einfach killen

bei mir läuft das jetzt auch als Daemon.
Jetzt hat mir logcheck ca. 20 Versuche, sich als root einzuloggen, gemeldet.
Aber in /root/.check_ips/ip_block ist nix zu sehen? Was hab ich falsch gemacht? Danke für die Hilfe.

Waren die Versuche denn innerhalb des gewählten Zeitraums oder mit langer Pause dazwischen?