Hat jemand auch connects von 217.233.117.129 ?

Rund um die Sicherheit des Systems und die Applikationen
floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Hat jemand auch connects von 217.233.117.129 ?

Post by floschi » 2003-03-07 18:17

Hi !

Seit dieser Nacht verbindet sich der 217.233.117.129 alle 5 Minuten mit meinerm sshd, macht aber keinen Loginversuch...

Code: Select all

Did not receive identification string from 217.233.117.129
ist die Meldung.

Hat jemand ähnliche Probs?


Grüßle

Olfi

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: Hat jemand auch connects von 217.233.117.129 ?

Post by floschi » 2003-03-07 18:37

Oha, er hat die Adresse gewechselt...

Code: Select all

Did not receive identification string from 217.233.91.110

kase
Posts: 1031
Joined: 2002-10-14 22:56

Re: Hat jemand auch connects von 217.233.117.129 ?

Post by kase » 2003-03-07 18:44

Did not receive identification string from 212.202.192.154

Did not receive identification string from 213.107.21.27

Beide haben jeweils 2 Connects aufgebaut, sonst nix ungewöhnliches heute.

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: Hat jemand auch connects von 217.233.117.129 ?

Post by floschi » 2003-03-07 19:19

ist wirklich seltsam, alle fünf Minuten...

kase
Posts: 1031
Joined: 2002-10-14 22:56

Re: Hat jemand auch connects von 217.233.117.129 ?

Post by kase » 2003-03-07 19:58

Wie lange dauert es denn, bis sshd dich mit diesem Fehler timeouted ?

Kann es sein, dass das Timeout dafür auf 5 mins steht ? *ggg*

Oder kann es sein, dass du deinen SSH Dienst von einem Monitoring Tool überwachen lässt ? Der würde nämlich genau das machen, und alle 5 mins wäre auch ein "normaler" Zeitraum für sowas.

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: Hat jemand auch connects von 217.233.117.129 ?

Post by floschi » 2003-03-07 20:03

kase wrote:Oder kann es sein, dass du deinen SSH Dienst von einem Monitoring Tool überwachen lässt ? Der würde nämlich genau das machen, und alle 5 mins wäre auch ein "normaler" Zeitraum für sowas.
Aber wieviele Monitoringtools wechseln ihre IP, nachdem man sie aussperrt?

cae
Posts: 68
Joined: 2002-12-16 07:16
Location: München

Re: Hat jemand auch connects von 217.233.117.129 ?

Post by cae » 2003-03-07 20:05

olfi wrote: Aber wieviele Monitoringtools wechseln ihre IP, nachdem man sie aussperrt?
217.233.117.129
-> ripe.net:
netname: DTAG-DIAL15
descr: Deutsche Telekom AG
Naja, neu einwählen schaffen die meisten Script-Kiddies wohl noch ;)

kase
Posts: 1031
Joined: 2002-10-14 22:56

Re: Hat jemand auch connects von 217.233.117.129 ?

Post by kase » 2003-03-07 20:08

Irgendein DSL Kind, dass aus unbekanntem Grund die Verfügbarkeit deines SSH Dienstes deines RootServers misst ^^

Da er sich ja gerade neu eingewählt hat, setz ihn in die hosts.deny, vielleicht meldet er sich ja dann ^^

Ein offizieller Monitoring Dienst ist das bestimmt nicht ^^

@Cae, ich vermute stark, dass Olfi bereits selbst bei Ripe nachgesehn hat ;)

cae
Posts: 68
Joined: 2002-12-16 07:16
Location: München

Re: Hat jemand auch connects von 217.233.117.129 ?

Post by cae » 2003-03-07 20:15

kase wrote: @Cae, ich vermute stark, dass Olfi bereits selbst bei Ripe nachgesehn hat ;)
War auch nicht als Belehrung gemeint... bitte nicht mißverstehen olfi!
Ich hab das nur angebracht, weil das der "Beweis" ist, dass es sich sicher nicht um irgendeinen Monitoring Service handelt.

EDIT: ...und es dementsprechend auch keinen Sinn macht, diese IP zu blocken... sonst kann ev. kase oder ich oder sonstwer, der über die Telekom surft, nicht auf das Forum zugreifen ;)

EDIT2: Einen hab ich noch ;) olfi, schau doch mal, wer zur Zeit der Loginversuche mit dieser IP hier im Forum gepostet hat... vielleicht findet sich da ja was :twisted:

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: Hat jemand auch connects von 217.233.117.129 ?

Post by floschi » 2003-03-07 22:16

Mir ist schon klar, dass es sich um einen DSL-T-Offline-User handelt und das der wohl nicht unbedingt meinen Server angreifen will...

Mittlerweile hat er wieder die IP gewechselt, jetzt isses 217.233.121.236.

Ich schreib' jetzt die Mail an abuse...


Grüßle

Olfi ;)

[tom]
Posts: 656
Joined: 2003-01-08 20:10
Location: Berlin

Re: Hat jemand auch connects von 217.233.117.129 ?

Post by [tom] » 2003-03-08 00:26

olfi wrote: Ich schreib' jetzt die Mail an abuse...
Halt uns mal auf den Laufenden.

[TOM]

scythe42
Posts: 154
Joined: 2002-10-14 18:30
Location: Internet

Re: Hat jemand auch connects von 217.233.117.129 ?

Post by scythe42 » 2003-03-08 12:19

lass ihn doch proben wie er will. passiert doch nichts dadurch. ist so, als wolltest du verhindern, das jemand bestimmtes an deiner haustür klingelt. ist doch völlig egal, weil es keine auswirkungen und wenn er meint, dies alle 5 minuten zu machen, soll er es doch tun, er wird schon die lust verlieren. ist doch seine zeit, die er verschwendet. oder vielleicht meint er ja, er könnte mit seinem winzigen uptrem nen dos fahren... ;-)

oder schiess doch mal mit richtiger bandbreite auf ihn zurück bzw. probe ihn mal. da erschrecken sich die script kiddies immer zu tode. meinste, was die angst haben, wenn du ihren rechner kontrollierst... mach ich von zeit zu zeit mal, wenn ich gerade nichts besseres zu tun habe und mal gucke wer mich gerad probed.

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: Hat jemand auch connects von 217.233.117.129 ?

Post by floschi » 2003-03-08 12:42

Ich denke eher, dass da jemand irgendwas falsch konfiguriert hat und gar nicht merkt, das er mich nervt...

Nervig sind die vielen Einträge in den Logfiles ;)

sascha
Posts: 1325
Joined: 2002-04-22 23:08

Re: Hat jemand auch connects von 217.233.117.129 ?

Post by sascha » 2003-03-08 13:03

Nervig sind die vielen Einträge in den Logfiles
Genau das ist der Punkt. Ich ärgere mich über jede Mail von Logsentry die durch solche Scriptkiddies verursacht wurde...

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: Hat jemand auch connects von 217.233.117.129 ?

Post by alexander newald » 2003-03-08 13:48

Sascha wrote:
Nervig sind die vielen Einträge in den Logfiles
Genau das ist der Punkt. Ich ärgere mich über jede Mail von Logsentry die durch solche Scriptkiddies verursacht wurde...
Und schon haben diese Kiddies den ersten Erfolg erziehlt! Denn du bist ärgerlich, wirst genervt und unaufmerksam - und dir entgehen die wichtigen Mails !! :wink:

Ist wie mit Spam. Man kriegt hunderte am Tag und nur ein paar echte Mails. Gäbe es da keinen Spamfilter würde man da wahnsinnig.

Alexander Newald

scythe42
Posts: 154
Joined: 2002-10-14 18:30
Location: Internet

Re: Hat jemand auch connects von 217.233.117.129 ?

Post by scythe42 » 2003-03-08 13:49

Kannst du solche "gewöhnlichen" sshd Probes nicht bei logsentry ignorieren - oder irre ich da?

Ignoriere meine logs zu 99% immer, da ssh nur von meiner statischen home ip geht (wrapper drum) und via Key statt Password. Anonymous ftp erlaub ich nicht (pureftpd), Kernel Modules kannste bei mir auch nicht laden und "Kunden" hab ich auf dem Server so oder so nicht. Und für den Fall der Fälle nutz ich noch tripwire. In die Kogs schau ich nur rein, wenn ich ein problem mit dem system habe.

Und wenn mich jemand hacken sollte, dann sind die logs doch das erste was er abschaltet ;-) Geblockte Angriffsversuche interessieren mich nicht die Bohne und "erfolgreiche" werde ja wohl kaum geloggt ;-(

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: Hat jemand auch connects von 217.233.117.129 ?

Post by floschi » 2003-03-09 00:17

scythe42 wrote:Kannst du solche "gewöhnlichen" sshd Probes nicht bei logsentry ignorieren - oder irre ich da?
Doch, aber momentan hab' ich die Zeit nicht, das einzustellen :(
scythe42 wrote:Und wenn mich jemand hacken sollte, dann sind die logs doch das erste was er abschaltet ;-) Geblockte Angriffsversuche interessieren mich nicht die Bohne und "erfolgreiche" werde ja wohl kaum geloggt ;-(
Tjaja, bald kommt der externe loghost samt Howto ;)