Hat jemand auch connects von 217.233.117.129 ?

[floschi]

Hi !

Seit dieser Nacht verbindet sich der 217.233.117.129 alle 5 Minuten mit meinerm sshd, macht aber keinen Loginversuch...

Code: Select all

Did not receive identification string from 217.233.117.129

ist die Meldung.

Hat jemand ähnliche Probs?


Grüßle

Olfi

[floschi]

Oha, er hat die Adresse gewechselt...

Code: Select all

Did not receive identification string from 217.233.91.110

[kase]

Did not receive identification string from 212.202.192.154

Did not receive identification string from 213.107.21.27

Beide haben jeweils 2 Connects aufgebaut, sonst nix ungewöhnliches heute.

[floschi]

ist wirklich seltsam, alle fünf Minuten...

[kase]

Wie lange dauert es denn, bis sshd dich mit diesem Fehler timeouted ?

Kann es sein, dass das Timeout dafür auf 5 mins steht ? *ggg*

Oder kann es sein, dass du deinen SSH Dienst von einem Monitoring Tool überwachen lässt ? Der würde nämlich genau das machen, und alle 5 mins wäre auch ein "normaler" Zeitraum für sowas.

[floschi]

Oder kann es sein, dass du deinen SSH Dienst von einem Monitoring Tool überwachen lässt ? Der würde nämlich genau das machen, und alle 5 mins wäre auch ein "normaler" Zeitraum für sowas.

Aber wieviele Monitoringtools wechseln ihre IP, nachdem man sie aussperrt?

[cae]

Aber wieviele Monitoringtools wechseln ihre IP, nachdem man sie aussperrt?

217.233.117.129
-> ripe.net:

netname: DTAG-DIAL15
descr: Deutsche Telekom AG

Naja, neu einwählen schaffen die meisten Script-Kiddies wohl noch ;)

[kase]

Irgendein DSL Kind, dass aus unbekanntem Grund die Verfügbarkeit deines SSH Dienstes deines RootServers misst ^^

Da er sich ja gerade neu eingewählt hat, setz ihn in die hosts.deny, vielleicht meldet er sich ja dann ^^

Ein offizieller Monitoring Dienst ist das bestimmt nicht ^^

@Cae, ich vermute stark, dass Olfi bereits selbst bei Ripe nachgesehn hat ;)

[cae]

@Cae, ich vermute stark, dass Olfi bereits selbst bei Ripe nachgesehn hat ;)

War auch nicht als Belehrung gemeint... bitte nicht mißverstehen olfi!
Ich hab das nur angebracht, weil das der "Beweis" ist, dass es sich sicher nicht um irgendeinen Monitoring Service handelt.

EDIT: ...und es dementsprechend auch keinen Sinn macht, diese IP zu blocken... sonst kann ev. kase oder ich oder sonstwer, der über die Telekom surft, nicht auf das Forum zugreifen ;)

EDIT2: Einen hab ich noch ;) olfi, schau doch mal, wer zur Zeit der Loginversuche mit dieser IP hier im Forum gepostet hat... vielleicht findet sich da ja was :twisted:

[floschi]

Mir ist schon klar, dass es sich um einen DSL-T-Offline-User handelt und das der wohl nicht unbedingt meinen Server angreifen will...

Mittlerweile hat er wieder die IP gewechselt, jetzt isses 217.233.121.236.

Ich schreib' jetzt die Mail an abuse...


Grüßle

Olfi ;)

[[tom]]

Ich schreib' jetzt die Mail an abuse...

Halt uns mal auf den Laufenden.

[TOM]

[scythe42]

lass ihn doch proben wie er will. passiert doch nichts dadurch. ist so, als wolltest du verhindern, das jemand bestimmtes an deiner haustür klingelt. ist doch völlig egal, weil es keine auswirkungen und wenn er meint, dies alle 5 minuten zu machen, soll er es doch tun, er wird schon die lust verlieren. ist doch seine zeit, die er verschwendet. oder vielleicht meint er ja, er könnte mit seinem winzigen uptrem nen dos fahren... ;-)

oder schiess doch mal mit richtiger bandbreite auf ihn zurück bzw. probe ihn mal. da erschrecken sich die script kiddies immer zu tode. meinste, was die angst haben, wenn du ihren rechner kontrollierst... mach ich von zeit zu zeit mal, wenn ich gerade nichts besseres zu tun habe und mal gucke wer mich gerad probed.

[floschi]

Ich denke eher, dass da jemand irgendwas falsch konfiguriert hat und gar nicht merkt, das er mich nervt...

Nervig sind die vielen Einträge in den Logfiles ;)

[sascha]

Nervig sind die vielen Einträge in den Logfiles

Genau das ist der Punkt. Ich ärgere mich über jede Mail von Logsentry die durch solche Scriptkiddies verursacht wurde...

[alexander newald]

Nervig sind die vielen Einträge in den Logfiles

Genau das ist der Punkt. Ich ärgere mich über jede Mail von Logsentry die durch solche Scriptkiddies verursacht wurde...

Und schon haben diese Kiddies den ersten Erfolg erziehlt! Denn du bist ärgerlich, wirst genervt und unaufmerksam - und dir entgehen die wichtigen Mails !!

Ist wie mit Spam. Man kriegt hunderte am Tag und nur ein paar echte Mails. Gäbe es da keinen Spamfilter würde man da wahnsinnig.

Alexander Newald

[scythe42]

Kannst du solche "gewöhnlichen" sshd Probes nicht bei logsentry ignorieren - oder irre ich da?

Ignoriere meine logs zu 99% immer, da ssh nur von meiner statischen home ip geht (wrapper drum) und via Key statt Password. Anonymous ftp erlaub ich nicht (pureftpd), Kernel Modules kannste bei mir auch nicht laden und "Kunden" hab ich auf dem Server so oder so nicht. Und für den Fall der Fälle nutz ich noch tripwire. In die Kogs schau ich nur rein, wenn ich ein problem mit dem system habe.

Und wenn mich jemand hacken sollte, dann sind die logs doch das erste was er abschaltet ;-) Geblockte Angriffsversuche interessieren mich nicht die Bohne und "erfolgreiche" werde ja wohl kaum geloggt ;-(

[floschi]

Kannst du solche "gewöhnlichen" sshd Probes nicht bei logsentry ignorieren - oder irre ich da?

Doch, aber momentan hab' ich die Zeit nicht, das einzustellen :(

Und wenn mich jemand hacken sollte, dann sind die logs doch das erste was er abschaltet ;-) Geblockte Angriffsversuche interessieren mich nicht die Bohne und "erfolgreiche" werde ja wohl kaum geloggt ;-(

Tjaja, bald kommt der externe loghost samt Howto ;)