Page 1 of 1
Hackversuch auf meinem Server?
Posted: 2007-12-10 21:17
by frameboy
Ich bin relativ neu im Servergeschehen.
Aber eben war mein SQL-Server wegen zu vielen Anfragen auf Grund gelaufen.
Habe jetzt mal meine Logs gechecked und folgende Einträge gefunden:
Auszug:
Code: Select all
Dec 9 20:53:11 h618026 sshd[28101]: Invalid user nareg from 66.232.110.2
Dec 9 20:53:09 h618026 sshd[28089]: Invalid user nareen from 66.232.110.2
Dec 9 20:53:07 h618026 sshd[28081]: Invalid user narcissia from 66.232.110.2
Dec 9 20:53:06 h618026 sshd[28076]: Invalid user narcisse from 66.232.110.2
Dec 9 20:53:04 h618026 sshd[28071]: Invalid user narcissa from 66.232.110.2
Dec 9 20:53:02 h618026 sshd[28066]: Invalid user narciso from 66.232.110.2
Dec 9 20:53:01 h618026 sshd[28061]: Invalid user narcis from 66.232.110.2
Dec 9 20:52:59 h618026 sshd[28056]: Invalid user narain from 66.232.110.2
Dec 9 20:52:58 h618026 sshd[28051]: Invalid user nara from 66.232.110.2
Der "User" ist immer ein anderer.
Kann ich das als gezielten ANgriff auf meinen Server werten? Kann ich das unterbinden?
Gruß Hendrik aka Frameboy
Re: Hackversuch auf meinem Server?
Posted: 2007-12-10 21:39
by daemotron
Diese Pseudo-Angriffe auf den sshd sind harmlos, solange der Direktzugriff für root verboten und die Passwörter ausreichend sicher gewählt sind (oder noch besser nur Authentifzierung über public keys möglich ist). Gehört halt irgendwie zum Grundrauschen, von wirklich gezielten Angriffen kann man da eigentlich nicht sprechen.
Mit dem Absturz Deines Datenbankservers hat das aber nichts zu tun - was auch immer die Ursache dafür ist, nach der würde ich wirklich suchen. Wahrscheinlich eine Fehlkonfiguration, möglicherweise aber tatsächlich ein unvorsichtiger Einbrecher.
Re: Hackversuch auf meinem Server?
Posted: 2007-12-19 08:17
by royal1177
was sagt denn /var/log/mysql.err und mysql.log ?
Re: Hackversuch auf meinem Server?
Posted: 2007-12-19 08:20
by enn
royal1177 wrote:was sagt denn /var/log/mysql.err und mysql.log ?
Was haben diese beiden Dateien mit dem oben genannten Log zu tun?
Re: Hackversuch auf meinem Server?
Posted: 2007-12-19 08:22
by royal1177
@enn....
das war auf sein problem mit dem abgestürzten sql server, und nicht auf die script kiddie attacke bezogen
Re: Hackversuch auf meinem Server?
Posted: 2007-12-19 18:27
by [*as*]-kenny/generic-
sshd ist dein secure shell daemon
die angriffe sind normal, wenn du die nicht mehr willst brauchst du nur den port von dem sshd auf einen anderen setzten.
das reduziert die angriffe fast auf null.
mysql solltest du nur auf den localhost interface binden.
somit ist dieser dann nicht mehr angreifbar.
wennn du ihn administrieren willst z.b. mit dem windows gui tools machst du dir einfachen einen ssh-tunnel zum server.
Re: Hackversuch auf meinem Server?
Posted: 2007-12-20 01:32
by daemotron
[*AS*]-kenny/generic- wrote:mysql solltest du nur auf den localhost interface binden.
somit ist dieser dann nicht mehr angreifbar.
Vielleicht nicht mehr durch erbrüten von Credentials, aber SQL-Injection über $Webanwendung geht immer noch
Re: Hackversuch auf meinem Server?
Posted: 2007-12-20 09:51
by [*as*]-kenny/generic-
jupp das ist richtig, dann nimmst du:
http://php-ids.org/
ansonsten empfehle ich sowieso die passwort auth. vom sshd abzuschalten und nur noch mit key's anzumelden.
Re: Hackversuch auf meinem Server?
Posted: 2007-12-30 04:52
by silent85
Kann einer denn noch denn SSH Port herrausfinden? Ausser halt durch ausprobieren?
Re: Hackversuch auf meinem Server?
Posted: 2007-12-30 11:48
by oxygen
SilenT85 wrote:Kann einer denn noch denn SSH Port herrausfinden? Ausser halt durch ausprobieren?
Durchprobieren dauert im Normalfall ja nicht mal eine Sekunde...
Re: Hackversuch auf meinem Server?
Posted: 2007-12-31 09:24
by EdRoxter
Die meisten "Angriffe" sind nur automatisierte Attacken von kompromittierten Servern. Die versuchen's eben nur auf Port 22.
Wenn jemand dir wirklich was tun will, also ein Mensch an der Kiste sitzt, nützt Umlegen des SSH-Ports natürlich nichts.