port 48686

[tch9]

Hallo,

über den fail2ban log wurde eine IP an dem SSH Port gesperrt. Da ich den Port verlegt habe, ist dies schon auffällig. Im auth.log bin ich dann auf folgenden Eintrag gestoßen:

Code: Select all

Jan 29 07:49:58 server sshd[17434]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.76.49.5  user=root
Jan 29 07:50:00 server sshd[17434]: Failed password for root from 218.76.49.5 port 48686 ssh2
Jan 29 07:50:02 server sshd[17434]: Failed password for root from 218.76.49.5 port 48686 ssh2
Jan 29 07:50:04 server sshd[17434]: Failed password for root from 218.76.49.5 port 48686 ssh2

Mein SSH Port liegt nicht auf diesen Port 48686 .

Wie gelangt nun jemand an den Port 48686 auf meine Maschine?
Laut mnap und meiner IP finde ich den Port nicht aber eventuell liegt der ja außerhalb der Prüfung.
Server wird mit Debian betrieben.

Vielleicht habt Ihr einen Tipp.

Gruß
tch9

[ddm3ve]

Hallo tch9,

und wie kommst Du darauf, dass der Port auf Deinem Host ist?
Es ist der Client Port und IP über die die Verbindung zustande kommt.

Beschäftige Dich ggf. etwas tiefergreifend mit dem Thema Netzwerk und Layer 3/4.

Hier etwas grundlegendes:
https://de.wikipedia.org/wiki/Port_(Protokoll)

Da ist auch erklärt, warum z.B. Dein Server zwar Verbindungen auf einem Port annimmt, aber nicht zwangsläufig nur auf dem Port spricht. Beispiel Webserver wird hier genannt.

Ist die Verbindung wieder abgebaut wirst Du mit netstat / ss etc. auch nichts mehr finden.

Schau dir das mal z.B. mit netstat -tpn oder ss -tpn auf Deinem Rechner an.