Server-Hack Versuch?

Rund um die Sicherheit des Systems und die Applikationen
hendricius
Posts: 23
Joined: 2007-04-26 18:21

Server-Hack Versuch?

Post by hendricius » 2007-11-12 16:07

Hallo,

habe eben grade meine /var/log/authlog ausgelesen und finde über 8 Stunden alle Minute das folgende in leichter Variation.

Code: Select all

Nov 12 09:33:45 Debian-40-etch-64-LAMP sshd[14534]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host.bizalacarte.com
Nov 12 09:33:47 Debian-40-etch-64-LAMP sshd[14534]: Failed password for invalid user close from 24.83.96.67 port 45427 ssh2


Bedeutet dies das jemand nach passwörtern sucht?

Danach kam das folgende:

Code: Select all

Nov 12 06:46:11 Debian-40-etch-64-LAMP sshd[10655]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=u15251406.onlinehome-serve$
Nov 12 06:46:13 Debian-40-etch-64-LAMP sshd[10655]: Failed password for invalid user admin from 74.208.15.110 port 56204 ssh2
Nov 12 06:46:15 Debian-40-etch-64-LAMP sshd[10657]: Invalid user admin from 74.208.15.110


Eine Frage dazu noch, wie kann ich über IP-Tables dann die hostnamen (z.B. d188225.adsl.hansenet.de) sperren?

Danke.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Server-Hack Versuch?

Post by Joe User » 2007-11-12 16:25

Das ist vollkommen normal und bei weise gesetzten Passwörtern oder noch besser Pub-Key-Auth harmlos.
Hendricius wrote:wie kann ich über IP-Tables dann die hostnamen (z.B. d188225.adsl.hansenet.de) sperren?

Das willst Du nicht tun: http://www.rootforum.org/forum/view ... hp?t=46097 und die SuFu erläutern auch warum Du das nicht tun willst...

hendricius
Posts: 23
Joined: 2007-04-26 18:21

Re: Server-Hack Versuch?

Post by hendricius » 2007-11-12 16:38