Attacke von Nachbarn...?

[php-tom]

Hallo Profis,

als ich gerade in /var/log/messages schaue, stellte ich fest, dass da wohl einer unserer "Nachbarn" aus dem 1&1-Subnetz eine automatisierte Attacke auf meinen Server durchgeführt hat:

Kleiner Auszug:

Code: Select all

Mar  6 08:37:16 pxxxxxxxxxx proftpd[19977]: pxxxxxxxxxx.pureserver.de (windows-server-testbestellung-fp.de[217.160.141.196]) - Maximum login attempts exceeded.
Mar  6 08:37:17 pxxxxxxxxxx proftpd[19978]: connect from 217.160.141.196 (217.160.141.196)
Mar  6 08:37:17 pxxxxxxxxxx proftpd[19978]: pxxxxxxxxxx.pureserver.de (windows-server-testbestellung-fp.de[217.160.141.196]) - FTP session opened.
Mar  6 08:37:17 pxxxxxxxxxx proftpd[19978]: pxxxxxxxxxx.pureserver.de (windows-server-testbestellung-fp.de[217.160.141.196]) - SECURITY VIOLATION: root login attempted.
Mar  6 08:37:17 pxxxxxxxxxx proftpd[19976]: pxxxxxxxxxx.pureserver.de (windows-server-testbestellung-fp.de[217.160.141.196]) - SECURITY VIOLATION: root login attempted.
Mar  6 08:37:18 pxxxxxxxxxx proftpd[19978]: pxxxxxxxxxx.pureserver.de (windows-server-testbestellung-fp.de[217.160.141.196]) - SECURITY VIOLATION: root login attempted.
Mar  6 08:37:18 pxxxxxxxxxx proftpd[19978]: pxxxxxxxxxx.pureserver.de (windows-server-testbestellung-fp.de[217.160.141.196]) - FTP session closed.
Mar  6 08:37:19 pxxxxxxxxxx proftpd[19976]: pxxxxxxxxxx.pureserver.de (windows-server-testbestellung-fp.de[217.160.141.196]) - SECURITY VIOLATION: root login attempted.
Mar  6 08:37:19 pxxxxxxxxxx proftpd[19976]: pxxxxxxxxxx.pureserver.de (windows-server-testbestellung-fp.de[217.160.141.196]) - Maximum login attempts exceeded.
Mar  6 08:37:20 pxxxxxxxxxx proftpd[19979]: connect from 217.160.141.196 (217.160.141.196)
Mar  6 08:37:20 pxxxxxxxxxx proftpd[19979]: pxxxxxxxxxx.pureserver.de (windows-server-testbestellung-fp.de[217.160.141.196]) - FTP session opened.
Mar  6 08:37:20 pxxxxxxxxxx proftpd[19979]: pxxxxxxxxxx.pureserver.de (windows-server-testbestellung-fp.de[217.160.141.196]) - SECURITY VIOLATION: root login attempted.
Mar  6 08:37:26 pxxxxxxxxxx last message repeated 2 times
Mar  6 08:37:26 pxxxxxxxxxx proftpd[19979]: pxxxxxxxxxx.pureserver.de (windows-server-testbestellung-fp.de[217.160.141.196]) - Maximum login attempts exceeded.
Mar  6 08:37:27 pxxxxxxxxxx proftpd[19980]: connect from 217.160.141.196 (217.160.141.196)
Mar  6 08:37:27 pxxxxxxxxxx proftpd[19980]: pxxxxxxxxxx.pureserver.de (windows-server-testbestellung-fp.de[217.160.141.196]) - FTP session opened.
Mar  6 08:37:27 pxxxxxxxxxx proftpd[19980]: pxxxxxxxxxx.pureserver.de (windows-server-testbestellung-fp.de[217.160.141.196]) - SECURITY VIOLATION: root login attempted.
Mar  6 08:37:30 pxxxxxxxxxx proftpd[19980]: pxxxxxxxxxx.pureserver.de (windows-server-testbestellung-fp.de[217.160.141.196]) - SECURITY VIOLATION: root login attempted.

Im Prinzip das volle Programm: POP3, SMTP, FTP und Shell-Zugriff.

Was soll das? Soll ich es ignorieren (weil ZUM GLÃ?CK nix passiert ist), oder soll ich Schritte einleiten, wenn ja, welche?
Wie geht ihr mit solchen Angriffen um - werde ja wohl sicherlich nicht das einzige Ziel gewesen sein...

Danke!

Gruss aus Mönchengladbach
Thomas

[captaincrunch]

Was soll das? Soll ich es ignorieren (weil ZUM GLÃ?CK nix passiert ist), oder soll ich Schritte einleiten, wenn ja, welche?

Gründe gibt es im Normalfall zweierlei :
1) der- / diejenige hat versucht, deinen Server zu cracken oder
2) der besagte Server ist gecrackt worden, und von dort aus versucht jemand, weitere Server zu "übernehmen".

An deiner Stelle würde ich eine Mail an abuse@puretec.de (inkl. der Logs) schicken. Entweder wird demjenigen das eine Lehre sein, oder er wird darauf hingewiesen, dass etwas mit seinem Server nicht stimmt.

[cae]

und wem gehört der Server, von dem die "Attacke" augegangen ist?
windows-server-testbestellung-fp.de
-->Denic Whois:

ZENSIERT

Also 1&1 direkt... 8O


Edit by Sascha: Bitte keine Ausgaben des Denic Whois im Forum posten![/b]

[captaincrunch]

In dem Fall erst Recht eine Mal an die Jungs und Mädels ...

[php-tom]

Zensiert - siehe OP

:?: :?: :?:
Vielleicht ein Test-Skript, dass nach offenen Hintertüren sucht...?

Habe soeben eine Nachricht an das Abuse-Team geschickt und werde sehr auf die Antwort gespannt sein...

Gruss aus Mönchengladbach
Thomas

[dynamix]

Na das is ja mal interessant :-)

Bleib am Ball

[sascha]

Hi,

ich hab auch zahllose Login Versuche von diesem Server...

[fubbel]

in was für nem subnet seit ihr zwei denn ??

muss heut abend auch mal schauen wie se bei mir aussieht.

[sascha]

217.160.92.*

[php-tom]

217.160.90.*

[standbye]

also der server steht im gleichen subnetz wie ich

hatte bisher noch nix von dem

[sascha]

Hi,

der Server ist nicht mehr erreichbar

[fubbel]

gut so das er nicht mehr erreichbar ist :)

ich hatte auf jeden Fall nichts im meinen logs von diesem server.
alles ganz normal
isser wohl bist 217.160.173.* nich mehr durchgedrungen
zum glück

[crasline]

Hi,

der Server ist nicht mehr erreichbar

Ohhh .. die tiefen machenschaften von 1&1 ... kaum werden sie erkannt, wird der Server ausm Fenster geworfen :P

[php-tom]

Ich bin ja wirklich mal gespannt, ob diese Angriffe wirklich von 1&1 initiiert wurden, oder ob irgendjemand deren Server "geknackt" und für die heutige Aktion missbraucht hat...

Denkbar wäre auch, dass jemand die Domain "unter falscher Flagge" registriert und sich für 1&1 ausgegeben hat, um den Verdacht auf eben die zu lenken.

Sehr mysteriös das Ganze...

Vom Abuse-Team habe ich noch nix gehört.

Gruss aus Mönchengladbach
Thomas

[fubbel]

beweise vernichten :)

[crasline]

ne, das is schon ne offizielle domain .. du kannst ja nicht einfach dich auf den höheren ns20.schlund.de nameservern eintragen und die Adresse fälschen ... ich denk schon das 1&1 das mitbekommt wenn du auf falschen Namen nen Server anmietest ..

[[tom]]

Denkbar wäre auch, dass jemand die Domain "unter falscher Flagge" registriert und sich für 1&1 ausgegeben hat, um den Verdacht auf eben die zu lenken.

Mit SIcherheit nicht. Als Provider, der die Domain registriert hat, ist bei DENIC die Schlund + Partner AG eingetragen (nicht zu verwechseln mit der frei wählbaren, öffentlichen Decription).

[TOM]

[kase]

Bei mir hats auch jemand versucht, habe unmengen Login Versuche am 5. (gestern) um 11 Uhr.

Das ganze war von dieser IP:
http://www.ripe.net/perl/whois?form_typ ... rch=Search

Hat ca 80 kb Logs in ca 45 mins erzeugt, danach hat er es aufgegeben.

Ob das was bringt, wenn ich das melde ?

Welche Sprache sprechen die da ?? *gg*

[rootmaster]

wo wie gerade dabei sind, andere interessante "serverdomains" ;)

rootserver-test.de
rootserver-windows.de
winnetserver.de
rootserver-confixxtest.de

oder auch

rootmaster.info


"back to the roots"

[kase]

Hier mal ein kleiner Auszug aus Snort:

Edit: Code wieder entfernt...

Neben den unmengen Login Versuchen per ftp und root, usw, mal sehn, was ich noch alles finde. Allerdings glaube ich, war er in den 45 mins nicht sehr erfolgreich.

[torsten]

Der Mensch hat auch versucht, mich heimzusuchen

Percentage and number of attacks from a host to a
destination
============================================================
# of
% attacks from to
============================================================
42.59 69 213.194.65.30 217.160.173.xxx

[kase]

Dann hast du vermutlich auch unmengen Login Versuche in deiner (bei Debian) auth.log (bei mir ca 80 !! kb)

[paulchen]

...
EDITED by Paulchen...

[torsten]

Dann hast du vermutlich auch unmengen Login Versuche in deiner (bei Debian) auth.log (bei mir ca 80 !! kb)

jepp, die habe ich. Am 5. März hat er unmenschlich losgelegt. Allerdings sieht es mir so aus, als wäre die Büchse geknackt, denn es werden alle Standardbenutzer in stumpfer Reihenfolge durchgegangen. Werde mich mal an abuse@puretec.de wenden

gruss
torsten