colossus
Goto Top

Hackerangriff abwehren, aber wie?

Hallo alle zusammen,
ich habe in meiner /var/log/messages folgende einträge gefungen (auszugsweise, wir reden hier über mehrere hundert zeilen)

ov 1 12:18:26 Colossus sshd[1870]: Invalid user jcsb from 216.223.138.50
Nov 1 12:18:27 Colossus sshd[1872]: Invalid user marioy from 216.223.138.50
Nov 1 12:18:29 Colossus sshd[1874]: Invalid user mariolin from 216.223.138.50
Nov 1 12:18:30 Colossus sshd[1876]: Invalid user omostafa from 216.223.138.50
Nov 1 12:18:31 Colossus sshd[1878]: Invalid user recaudacion from 216.223.138.50
Nov 1 12:18:33 Colossus sshd[1880]: Invalid user baseuio from 216.223.138.50
Nov 1 12:18:34 Colossus sshd[1882]: Invalid user administrativo from 216.223.138.50
Nov 1 12:18:39 Colossus sshd[1884]: Invalid user mprado from 216.223.138.50
Nov 1 12:18:40 Colossus sshd[1886]: Invalid user cobradores from 216.223.138.50
Nov 1 12:18:45 Colossus sshd[1888]: Invalid user digitacion1 from 216.223.138.50
Nov 1 12:18:47 Colossus sshd[1890]: Invalid user csaintalbin from 216.223.138.50
Nov 1 12:18:48 Colossus sshd[1892]: Invalid user wlopez from 216.223.138.50
Nov 1 12:18:50 Colossus sshd[1894]: Invalid user pfernando from 216.223.138.50
Nov 1 12:18:51 Colossus sshd[1896]: Invalid user pbms from 216.223.138.50
Nov 1 12:18:53 Colossus sshd[1898]: Invalid user smartinez from 216.223.138.50
Nov 1 12:18:54 Colossus sshd[1900]: Invalid user ijuarez from 216.223.138.50
Nov 1 12:18:56 Colossus sshd[1902]: Invalid user xfigueroa from 216.223.138.50
Nov 1 12:18:57 Colossus sshd[1904]: Invalid user amontes from 216.223.138.50
Nov 1 12:18:59 Colossus sshd[1906]: Invalid user sguatemala from 216.223.138.50
Nov 1 12:19:00 Colossus sshd[1908]: Invalid user tfelici from 216.223.138.50
Nov 1 12:19:05 Colossus sshd[1910]: Invalid user vfernandez from 216.223.138.50
Nov 1 12:19:06 Colossus sshd[1912]: Invalid user yfavale from 216.223.138.50
Nov 1 12:19:08 Colossus sshd[1914]: Invalid user abonifacio from 216.223.138.50
Nov 1 12:19:09 Colossus sshd[1916]: Invalid user dnozar from 216.223.138.50
Nov 1 12:19:11 Colossus sshd[1918]: Invalid user ealonso from 216.223.138.50
Nov 1 12:19:12 Colossus sshd[1920]: Invalid user fcastillo from 216.223.138.50
Nov 1 12:19:14 Colossus sshd[1922]: Invalid user fgabito from 216.223.138.50
Nov 1 12:19:15 Colossus sshd[1924]: Invalid user glazo from 216.223.138.50
Nov 1 12:19:17 Colossus sshd[1926]: Invalid user glorenzi from 216.223.138.50
Nov 1 12:19:18 Colossus sshd[1928]: Invalid user gweigel from 216.223.138.50
Nov 1 12:19:20 Colossus sshd[1930]: Invalid user jalvarez from 216.223.138.50
Nov 1 12:19:21 Colossus sshd[1932]: Invalid user jnosar from 216.223.138.50
Nov 1 12:19:23 Colossus sshd[1934]: Invalid user mcapotte from 216.223.138.50
Nov 1 12:19:24 Colossus sshd[1936]: Invalid user muszwisz from 216.223.138.50
Nov 1 12:19:26 Colossus sshd[1938]: Invalid user oborgato from 216.223.138.50
Nov 1 12:19:27 Colossus sshd[1940]: Invalid user pantunez from 216.223.138.50
Nov 1 12:19:28 Colossus sshd[1942]: Invalid user ppanizza from 216.223.138.50
Nov 1 12:19:30 Colossus sshd[1944]: Invalid user scardozo from 216.223.138.50
Nov 1 12:19:31 Colossus sshd[1946]: Invalid user wmarquez from 216.223.138.50
Nov 1 12:19:33 Colossus sshd[1948]: Invalid user bvelez from 216.223.138.50
Nov 1 12:19:34 Colossus sshd[1950]: Invalid user ccamera from 216.223.138.50
Nov 1 12:19:36 Colossus sshd[1952]: Invalid user cfiordelmondo from 216.223.138.50
Nov 1 12:19:37 Colossus sshd[1954]: Invalid user cfurino from 216.223.138.50
Nov 1 12:19:39 Colossus sshd[1956]: Invalid user csantana from 216.223.138.50
Nov 1 12:19:40 Colossus sshd[1958]: Invalid user cvallejo from 216.223.138.50
Nov 1 12:19:45 Colossus sshd[1960]: Invalid user deguren from 216.223.138.50
Nov 1 12:19:47 Colossus sshd[1962]: Invalid user egre from 216.223.138.50
Nov 1 12:19:48 Colossus sshd[1964]: Invalid user enunez from 216.223.138.50

sieht das für euch auch nach einem Hacker aus?

SYSTEM: SUSE 10.2, Samba, SSH, TS2, VNC, VPN Poptop (das sind so die wichtigsten Server die da laufen und der login Versuch kommt ja doch per SSH. Kann mann da was machen?
Linux geht bei mir über FritzBox mit 2000 DLS ins Netz (als Router, Feigaben in der Fritzbox logischerweise TS2 8767, VPN GER + TCP 1723, SSH 22.

Danke und Gruß

Content-Key: 72496

Url: https://administrator.de/contentid/72496

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: sysad
sysad 01.11.2007 um 14:12:08 Uhr
Goto Top
Wegen der zeitlich dichten Abfolge sieht mir das nach einem gezielten Scan aus. Würde ich mir aber keine Sorgen machen, wenn Dein System sicher ist face-wink
Mitglied: colossus
colossus 01.11.2007 um 14:17:21 Uhr
Goto Top
Sicher ist relativ. Kommt Zeit kommt der Einbruch. Ich hab mal Putty auf die IP gemacht, da kommt sogar eine login Aufforderung.
Mitglied: Janni
Janni 01.11.2007 um 14:19:52 Uhr
Goto Top
Sperr doch die IP einfach aus ......
Mitglied: colossus
colossus 01.11.2007 um 14:28:44 Uhr
Goto Top
die ändert sich leider ständig. ich geh mal von der zwangstrennung des isp aus.
Mitglied: Dani
Dani 01.11.2007 um 14:53:15 Uhr
Goto Top
Hi,
ne...eher nach einem Tool / Bot. Ich glaube, du kannst den SSH-Server so einstellen, dass nach 5-10 Loginfehlversuche die IP für z.B. 60 gebannt wird.
Alternativ würde einfach ein "POrt-NAT" machen. Sprich du sagst deiner Fritzbox:"Alle Anfragen von Port 22222 leite intern an 22 weiter. Aber ich denke eine Kombination aus beiden ist am Besten.


Grüße
Dani
Mitglied: colossus
colossus 01.11.2007 um 15:13:10 Uhr
Goto Top
die einstellung nach 5-10 fehlversuchen hört sich doch sehr gut an. werde mich dann mal durchlesen. danke für die schnellen antworten.

colossus
Mitglied: sysad
sysad 01.11.2007 um 17:28:09 Uhr
Goto Top
Oder wenn Du SSH nicht brauchst abschalten ins Nirwana umleiten....