RootForum Community

Posted: **2006-10-16 23:25**

Des da unten is nix tolles oder?

Oct 16 21:58:11 xxxxxx sshd[1411]: reverse mapping checking getaddrinfo for unknown.scnet.net failed - POSSIBLE BREAKIN ATTEMPT!
Oct 16 21:58:11 xxxxxx sshd[1411]: Failed password for illegal user doug from ::ffff:216.246.35.185 port 46756 ssh2
Oct 16 21:58:11 xxxxxx sshd[1411]: Received disconnect from ::ffff:216.246.35.185: 11: Bye Bye
Oct 16 21:58:12 xxxxxx sshd[1412]: Illegal user parts from ::ffff:216.246.35.185
Oct 16 21:58:12 xxxxxx sshd[1412]: input_userauth_request: illegal user parts
Oct 16 21:58:12 xxxxxx sshd[1412]: reverse mapping checking getaddrinfo for unknown.scnet.net failed - POSSIBLE BREAKIN ATTEMPT!
Oct 16 21:58:12 xxxxxx sshd[1412]: Failed password for illegal user parts from ::ffff:216.246.35.185 port 46836 ssh2
Oct 16 21:58:13 xxxxxx sshd[1412]: Received disconnect from ::ffff:216.246.35.185: 11: Bye Bye
Oct 16 21:58:14 xxxxxx sshd[1413]: reverse mapping checking getaddrinfo for unknown.scnet.net failed - POSSIBLE BREAKIN ATTEMPT!
Oct 16 21:58:14 xxxxxx sshd[1413]: Failed password for news from ::ffff:216.246.35.185 port 47260 ssh2
Oct 16 21:58:14 xxxxxx sshd[1413]: Received disconnect from ::ffff:216.246.35.185: 11: Bye Bye
Oct 16 21:58:15 xxxxxx sshd[1414]: Illegal user rpcuser from ::ffff:216.246.35.185
Oct 16 21:58:15 xxxxxx sshd[1414]: input_userauth_request: illegal user rpcuser
Oct 16 21:58:15 xxxxxx sshd[1414]: reverse mapping checking getaddrinfo for unknown.scnet.net failed - POSSIBLE BREAKIN ATTEMPT!
Oct 16 21:58:15 xxxxxx sshd[1414]: Failed password for illegal user rpcuser from ::ffff:216.246.35.185 port 47347 ssh2
Oct 16 21:58:16 xxxxxx sshd[1414]: Received disconnect from ::ffff:216.246.35.185: 11: Bye Bye
Oct 16 21:58:17 xxxxxx sshd[1415]: Illegal user radiusd from ::ffff:216.246.35.185
Oct 16 21:58:17 xxxxxx sshd[1415]: input_userauth_request: illegal user radiusd
Oct 16 21:58:17 xxxxxx sshd[1415]: reverse mapping checking getaddrinfo for unknown.scnet.net failed - POSSIBLE BREAKIN ATTEMPT!
Oct 16 21:58:17 xxxxxx sshd[1415]: Failed password for illegal user radiusd from ::ffff:216.246.35.185 port 47642 ssh2
Oct 16 21:58:17 xxxxxx sshd[1415]: Received disconnect from ::ffff:216.246.35.185: 11: Bye Bye
Oct 16 21:58:18 xxxxxx sshd[1416]: Illegal user donk from ::ffff:216.246.35.185
Oct 16 21:58:18 xxxxxx sshd[1416]: input_userauth_request: illegal user donk

mich würde mal interessieren, gibt es nen skript was automatsich incoming ips blockt bei zB 10 maliger falscheingabe eines passwortes?

Posted: **2006-10-16 23:37**

Verschiebe den SSH Port von 22 auf z.B. 4711 ;)
Damit muss man rechnen wenn man mit Standardports arbeitet :roll:

Posted: **2006-10-16 23:56**

Oder du lässt den Port und installierst fail2ban

Posted: **2006-10-17 07:02**

oder Du ignorierst es weil deine user nicht tom, john, admin oder donk heißen und gute Passwörter haben.

Posted: **2006-10-17 09:51**

oder du stellst key-auth ein

(um die oder liste mal weiterzuführen)

Posted: **2006-10-17 12:47**

oder Du nutzt statt SSH die Remote-Console ;)

Posted: **2006-10-17 14:43**

oder Du fährst den Server runter :)

Posted: **2006-10-17 22:35**

Oder du beschränkst den Zugriff auf SSH per hosts.[allow|deny] auf die IP-Adressen bzw. Subnets, von denen Du Dich einloggst.

Posted: **2006-10-18 09:54**

Ich glaube, Key-Auth+Portverschieben (auch wenn ich für letzteres sicher gesteinigt werde) versprechen hier am meisten Erfolg.

Posted: **2006-10-20 06:54**

matzewe01 wrote: Vorläufig Ruhe, bis dann einer mit einem Portscanner Deinen Server besucht.
Ich habe mir einfach bei den produktiven Systemen eine Firewall Regel erstellt, die zumindest diesen Systemen den Zugang nur über ein bestimmte IP Range erlaubt.
Zusätzlich schluckt die Firewall alle weiteren Ports, die nicht belegt sind. Somit wird das suchen für einen Potentiellen Hacker schwieriger.

Wäre es so einfach einen per Schlüssel gesicherten SSH Server zu knacken, wären alle Rootserver gehackt...

Mal nur auf SSH bezogen jetzt.

Posted: **2006-10-20 07:18**

Zusätzlich schluckt die Firewall alle weiteren Ports, die nicht belegt sind. Somit wird das suchen für einen Potentiellen Hacker schwieriger.

Definiere doch bitte mal "schlucken". Geht's um "-j DROP"?

Posted: **2006-10-20 07:29**

Ich hab mit fail2ban gute Erfahrungen gemacht - wenn die "Hacker" gesperrt werden, sind sie meistens noch bei "a" ... :-)

Zusätzlich leistet für die Passwortsicherheit noch "john" gute Dienste, das kann die entsprechenden User auch gleich per Mail anpflaumen.

flo.

Posted: **2006-10-20 11:41**

Und damit fühlst du dich sicherer? Auch wenn's ne recht philosophische Diskussion ist, hältst du damit keinen "Hacker" ab, sondern zeigst nur, dass du von der Funktionsweise von Netzwerkprotokollen wenig Ahnung hast.

Nur meine 0,02€...

Posted: **2006-10-20 12:16**

Allerdings lasse ich nach möglichkeit auch keinen Datenverkehr ungeprüft rein und raus.

Die Antwort per TCP-Reset bei nicht genutzten Ports geschieht
a) standardmäßig, da es das normale Verhalten eines TCP-Stacks ist, und ist also
b) durch Zuhilfenahme zusätzlicher Maßnahmen vollkommen unnötig.

RootForum Community

komische loggs

komische loggs

Re: komische loggs

Re: komische loggs

Re: komische loggs

Re: komische loggs

Re: komische loggs

Re: komische loggs

Re: komische loggs

Re: komische loggs

Re: komische loggs

Re: komische loggs

Re: komische loggs

Re: komische loggs

Re: komische loggs