Bruteforce auf mich?

Rund um die Sicherheit des Systems und die Applikationen
transmitter
Posts: 147
Joined: 2005-01-20 03:07

Bruteforce auf mich?

Post by transmitter » 2006-02-16 14:01

Hi

So wie es aussieht läuft hier gerade eine Bruteforce Attacke auf meinen SSH Server.

13:54:51.125389 IP MEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.61471: P 480188:480368(180) ack 2273 win 9648
Davon habe ich tausende in tcpdump.
Kann ich den Depp einfach aussperren?
Habe SSH jetzt schon auf einen anderen Port gemappt, aber der lässt trotzdem weiter laufen :(

Bye, Transmitter

cat
Posts: 96
Joined: 2002-09-14 20:57
Location: unterwegs-im.net ;)

Re: Bruteforce auf mich?

Post by cat » 2006-02-16 14:38

hi,

schonmal die Forensuche betaetigt? Dazu existieren jede Menge Threads.

ssh Port umlegen bringt gar nichts. Du hast die Moeglichkeit zB. iptables zu verwenden. Ansonsten, diese oder aehnliche Meldungen sieht man nicht nur mit tcpdump. Einfaches Logfile lesen hilft da auch ;)

greetz
Cat

transmitter
Posts: 147
Joined: 2005-01-20 03:07

Re: Bruteforce auf mich?

Post by transmitter » 2006-02-16 14:47

Aber iptables bringt doch da nichts, da die Anfrage ja durch den Router im RZ durch muss und mir dann trotzdem berechnet wird?

Habe jetzt schon mit dem RZ gesprochen, die blocken keine IPs von außen und mit T-Online telefoniert, da bekomme ich zeitnah eine E-Mail falls die etwas machen können. :(

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Bruteforce auf mich?

Post by captaincrunch » 2006-02-16 14:49

Ã?hm...der kleine Auszug sieht mir irgendwie eher danach aus, als ginge der Traffic vom Server zum T-Offline-Client?!?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

transmitter
Posts: 147
Joined: 2005-01-20 03:07

Re: Bruteforce auf mich?

Post by transmitter » 2006-02-16 15:01

Sicher?

Hier ist nochmal ein längerer Auszug:
14:58:41.145212 IP p54AED268.dip.t-dialin.net.62665 >MEINEIP.clients.your-server.de.MEINPORT: . ack 57308 win 65175
14:58:41.145228 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 65424:65604(180) ack 313 win 13936
14:58:41.145305 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 65604:65912(308) ack 313 win 13936
14:58:41.149495 IP p54AED268.dip.t-dialin.net.62665 >MEINEIP.clients.your-server.de.MEINPORT: . ack 57796 win 64687
14:58:41.149505 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 65912:66092(180) ack 313 win 13936
14:58:41.149567 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 66092:66400(308) ack 313 win 13936
14:58:41.152957 IP p54AED268.dip.t-dialin.net.62665 >MEINEIP.clients.your-server.de.MEINPORT: . ack 58284 win 64199
14:58:41.152966 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 66400:66580(180) ack 313 win 13936
14:58:41.153028 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 66580:66888(308) ack 313 win 13936
14:58:41.157054 IP p54AED268.dip.t-dialin.net.62665 >MEINEIP.clients.your-server.de.MEINPORT: . ack 58772 win 65535
14:58:41.157064 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 66888:67068(180) ack 313 win 13936
14:58:41.157125 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 67068:67376(308) ack 313 win 13936
14:58:41.160831 IP p54AED268.dip.t-dialin.net.62665 >MEINEIP.clients.your-server.de.MEINPORT: . ack 59260 win 65047
14:58:41.160840 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 67376:67556(180) ack 313 win 13936
14:58:41.160901 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 67556:67864(308) ack 313 win 13936
14:58:41.164365 IP p54AED268.dip.t-dialin.net.62665 >MEINEIP.clients.your-server.de.MEINPORT: . ack 59748 win 64559
14:58:41.164374 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 67864:68044(180) ack 313 win 13936
14:58:41.164435 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 68044:68352(308) ack 313 win 13936
14:58:41.168264 IP p54AED268.dip.t-dialin.net.62665 >MEINEIP.clients.your-server.de.MEINPORT: . ack 60236 win 65535
14:58:41.168274 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 68352:68532(180) ack 313 win 13936
14:58:41.168336 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 68532:68840(308) ack 313 win 13936
14:58:41.172134 IP p54AED268.dip.t-dialin.net.62665 >MEINEIP.clients.your-server.de.MEINPORT: . ack 60724 win 65047
14:58:41.172143 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 68840:69020(180) ack 313 win 13936
14:58:41.172204 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 69020:69328(308) ack 313 win 13936
14:58:41.175995 IP p54AED268.dip.t-dialin.net.62665 >MEINEIP.clients.your-server.de.MEINPORT: . ack 61212 win 64559
14:58:41.176004 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 69328:69508(180) ack 313 win 13936
14:58:41.176065 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 69508:6MEINPORT(308) ack 313 win 13936
14:58:41.180073 IP p54AED268.dip.t-dialin.net.62665 >MEINEIP.clients.your-server.de.MEINPORT: . ack 61700 win 65535
14:58:41.180082 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 6MEINPORT:69996(180) ack 313 win 13936
14:58:41.180143 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 69996:70304(308) ack 313 win 13936
14:58:41.183319 IP p54AED268.dip.t-dialin.net.62665 >MEINEIP.clients.your-server.de.MEINPORT: . ack 62188 win 65047
14:58:41.183344 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 70304:70484(180) ack 313 win 13936
14:58:41.183405 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 70484:70792(308) ack 313 win 13936
14:58:41.187491 IP p54AED268.dip.t-dialin.net.62665 >MEINEIP.clients.your-server.de.MEINPORT: . ack 62676 win 64559
14:58:41.187499 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 70792:70972(180) ack 313 win 13936
14:58:41.187561 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 70972:71280(308) ack 313 win 13936
14:58:41.191038 IP p54AED268.dip.t-dialin.net.62665 >MEINEIP.clients.your-server.de.MEINPORT: . ack 63164 win 65535
14:58:41.191046 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 71280:71460(180) ack 313 win 13936
14:58:41.191108 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 71460:71768(308) ack 313 win 13936
14:58:41.194929 IP p54AED268.dip.t-dialin.net.62665 >MEINEIP.clients.your-server.de.MEINPORT: . ack 63652 win 65047
14:58:41.194938 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 71768:71948(180) ack 313 win 13936
14:58:41.194999 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 71948:72256(308) ack 313 win 13936
14:58:41.198361 IP p54AED268.dip.t-dialin.net.62665 >MEINEIP.clients.your-server.de.MEINPORT: . ack 64140 win 64559
14:58:41.198370 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 72256:72436(180) ack 313 win 13936
14:58:41.198431 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 72436:72744(308) ack 313 win 13936
14:58:41.202271 IP p54AED268.dip.t-dialin.net.62665 >MEINEIP.clients.your-server.de.MEINPORT: . ack 64628 win 65535
14:58:41.202280 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 72744:72924(180) ack 313 win 13936
14:58:41.202341 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 72924:73232(308) ack 313 win 13936
14:58:41.206201 IP p54AED268.dip.t-dialin.net.62665 >MEINEIP.clients.your-server.de.MEINPORT: . ack 65116 win 65047
14:58:41.206209 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 73232:73412(180) ack 313 win 13936
14:58:41.206270 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 73412:73720(308) ack 313 win 13936
14:58:41.213938 IP p54AED268.dip.t-dialin.net.62665 >MEINEIP.clients.your-server.de.MEINPORT: . ack 65604 win 64559
14:58:41.213946 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 73720:73900(180) ack 313 win 13936
14:58:41.214007 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 73900:74208(308) ack 313 win 13936
14:58:41.219372 IP p54AED268.dip.t-dialin.net.62665 >MEINEIP.clients.your-server.de.MEINPORT: P 313:365(52) ack 65912 win 64251
14:58:41.219382 IPMEINEIP.clients.your-server.de.MEINPORT > p54AED268.dip.t-dialin.net.62665: P 74208:74388(180) ack 365 win 13936
14:58:41.335021 IP p54AED268.dip.t-dialin.net.62665 >MEINEIP.clients.your-server.de.MEINPORT: P 365:417(52) ack 65912 win 64251
Woran erkennt man jetzt die Richtung? An den > und <?

niemand
Posts: 142
Joined: 2003-12-12 18:36

Re: Bruteforce auf mich?

Post by niemand » 2006-02-16 15:02

Noch dazu ist es eine normal aufgebaute Verbindung. Sicher, dass $MEINPORT nicht zufällig 80 oder so ist? ;)

cu

transmitter
Posts: 147
Joined: 2005-01-20 03:07

Re: Bruteforce auf mich?

Post by transmitter » 2006-02-16 15:08

Ã?h .. ja .. jetzt bin ich ein wenig verwirrt ...

MEINPORT ist schon der SSH Port, aber der Angreifer bin ich .. ?
Das verstehe ich jetzt nicht .. wieso greife ich mich denn an?

Ist ließt sich jetzt wohl richtig dämlich, aber ich habe nur eine ganz normale SSH Connection zu meinem Server aufgebaut und habe im Moment 200MB Traffic auf dem Server, der sprungartig angestiegen ist.
Das kann doch nicht stimmen, oder?

rkhunter und chkrootkit habe ich schon probiert und tcpdump ist eben erst installiert, von daher scheint der Server ok zu sein.
Und die Webs verbrauchen ca. 20MB / h ...
Jetzt bin ich ratlos :(

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Bruteforce auf mich?

Post by captaincrunch » 2006-02-16 15:09

Woran erkennt man jetzt die Richtung? An den > und <?
Exakt. Das Ganze sieht mir jedenfalls von dem, was hier zu sehen ist nicht allzu bedrohlich aus. Wenn du per SSH eingeloggt bist, geht halt ein recht konstanter Datenstrom über $MEINPORT. Warum schaust du nicht einfach mal nach, ob du nicht wirklich selbst p54AED268.dip.t-dialin.net bist?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

niemand
Posts: 142
Joined: 2003-12-12 18:36

Re: Bruteforce auf mich?

Post by niemand » 2006-02-16 15:14

Wenn du tcpdump natürlich realtime über ssh laufen lässt, hast du eine hübsche Schleife, die zu solchen Logs führt (denn die Ausgabe von tcpdump an dich wird ihrerseits wieder gelogged und das an dich gesendet, was wiederum gelogged und an dich gesendet wird, ...)

cu

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Bruteforce auf mich?

Post by captaincrunch » 2006-02-16 15:16

Du auf Port 80 von p54AED268.dip.t-dialin.net "Transmitters Webserver" lauscht, hat sich meine Theorie wohl soeben vollständig bestätigt... :roll:
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

transmitter
Posts: 147
Joined: 2005-01-20 03:07

Re: Bruteforce auf mich?

Post by transmitter » 2006-02-16 15:28

niemand wrote:Wenn du tcpdump natürlich realtime über ssh laufen lässt, hast du eine hübsche Schleife, die zu solchen Logs führt (denn die Ausgabe von tcpdump an dich wird ihrerseits wieder gelogged und das an dich gesendet, was wiederum gelogged und an dich gesendet wird, ...)

cu
Ja .. hatte nur auf Anhieb gedacht, da kommt der Traffic her, da es nach sehr viel aussah.

Wie kann ich denn raus finden, wo jetzt der Traffic hin geht?

lsof -i:
spamd 1330 root 5u IPv4 1236 TCP localhost.localdomain:spamd (LISTEN)
spamd 1379 root 5u IPv4 1236 TCP localhost.localdomain:spamd (LISTEN)
spamd 1380 root 5u IPv4 1236 TCP localhost.localdomain:spamd (LISTEN)
spamd 1381 root 5u IPv4 1236 TCP localhost.localdomain:spamd (LISTEN)
spamd 1382 root 5u IPv4 1236 TCP localhost.localdomain:spamd (LISTEN)
spamd 1383 root 5u IPv4 1236 TCP localhost.localdomain:spamd (LISTEN)
mysqld 1466 mysql 3u IPv4 1450 TCP localhost.localdomain:mysql (LISTEN)
dovecot 1541 root 5u IPv4 1687 TCP *:pop3 (LISTEN)
pure-ftpd 2274 root 4u IPv4 5281 TCP *:ftp (LISTEN)
sshd 8647 root 3u IPv4 645724 TCP *:SSHPORT (LISTEN)
sshd 8826 root 4u IPv4 646486 TCP MEINEIP.clients.your-server.de:9816->p54AED268.dip.t-dialin.net:62218 (ESTABLISHED)
sshd 8831 transmitter 4u IPv4 646486 TCP MEINEIP.clients.your-server.de:9816->p54AED268.dip.t-dialin.net:62218 (ESTABLISHED)
sshd 8978 root 4u IPv4 647274 TCP MEINEIP.clients.your-server.de:9816->p54AED268.dip.t-dialin.net:62665 (ESTABLISHED)
sshd 8981 transmitter 4u IPv4 647274 TCP MEINEIP.clients.your-server.de:9816->p54AED268.dip.t-dialin.net:62665 (ESTABLISHED)
pop3-logi 9389 dovecot 0u IPv4 1687 TCP *:pop3 (LISTEN)
pop3-logi 9404 dovecot 0u IPv4 1687 TCP *:pop3 (LISTEN)
pop3-logi 9436 dovecot 0u IPv4 1687 TCP *:pop3 (LISTEN)
apache2 16147 root 3u IPv4 441349 TCP *:www (LISTEN)
apache2 16148 www-data 3u IPv4 441349 TCP *:www (LISTEN)
apache2 16149 www-data 3u IPv4 441349 TCP *:www (LISTEN)
apache2 16151 www-data 3u IPv4 441349 TCP *:www (LISTEN)
apache2 16153 www-data 3u IPv4 441349 TCP *:www (LISTEN)
sshd 25021 root 4u IPv4 631800 TCP MEINEIP.clients.your-server.de:9817->p54AED268.dip.t-dialin.net:61469 (ESTABLISHED)
sshd 25024 transmitter 4u IPv4 631800 TCP MEINEIP.clients.your-server.de:9817->p54AED268.dip.t-dialin.net:61469 (ESTABLISHED)
exim4 28661 Debian-exim 4u IPv4 233971 TCP *:smtp (LISTEN)

transmitter
Posts: 147
Joined: 2005-01-20 03:07

Re: Bruteforce auf mich?

Post by transmitter » 2006-02-16 16:14

Jetzt scheint sich alles wieder gelegt zu haben, aber das ist doch nicht normal.

Hier mal die Auswertung meines Traffic Tools.
Was den Traffic verursacht hat, bekomme ich jetzt nur noch über die logs raus?

Image

niemand
Posts: 142
Joined: 2003-12-12 18:36

Re: Bruteforce auf mich?

Post by niemand » 2006-02-16 16:38

Bei solchen Schleifen kann der Traffic schnell hoch gehen. Wir haben das mal im LAN getestet...

Ansonsten kannst du mit tcpdump auch in ein file loggen und das später ansehen.

cu