7
Attacke von webmin02.ari.es via SSH
Guten Tag,
ich habe einen Rootserver für mich und meien Freunde. Heute war ich im IPTraf, als ich bemekrte, dass irgendwer versucht sich via SSH anzumelden. Die auth.log ergibt folgendes:
May 23 11:06:06 delta514 sshd[6578]: Invalid user staff from 195.248.230.23
May 23 11:06:06 delta514 sshd[6578]: (pam_unix) check pass; user unknown
May 23 11:06:06 delta514 sshd[6578]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=webmin02.ari.es
May 23 11:06:08 delta514 sshd[6578]: Failed password for invalid user staff from 195.248.230.23 port 48991 ssh2
May 23 11:06:09 delta514 sshd[6580]: Invalid user sales from 195.248.230.23
May 23 11:06:09 delta514 sshd[6580]: (pam_unix) check pass; user unknown
May 23 11:06:09 delta514 sshd[6580]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=webmin02.ari.es
May 23 11:06:11 delta514 sshd[6580]: Failed password for invalid user sales from 195.248.230.23 port 49245 ssh2
May 23 11:06:11 delta514 sshd[6582]: Invalid user recruit from 195.248.230.23
May 23 11:06:11 delta514 sshd[6582]: (pam_unix) check pass; user unknown
May 23 11:06:11 delta514 sshd[6582]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=webmin02.ari.es
Von diesen Einträgen (immer unterschiedlicher user ABER immer 195.248.230.23 (webmin02.ari.es)) habe ich ungefähr 200 Stück. Nun zu meiner eigentlichen Fragen. Wie kann man sich vor solchen Angriffen schützen? Beziehungsweise fällt dies schon unter der Kategorie Angriff? Und ist diese Aktion strafbar? Wenn ja, sollte man gegen den Administrator Anzeige erstatten?
Ich habe auf dem Server Debian 4.0 etch mit Plesk 8.3 installiert. In der IPTables habe ich keine Regeln definiert (also sämtlicher Traffic erlaubt, außer Weiterleiten). Der SSH Server lässt nur eine Verbindung mit dem Benutzer root zu.
Mit freundlichen Grüßen
BlackJakck0190
ich habe einen Rootserver für mich und meien Freunde. Heute war ich im IPTraf, als ich bemekrte, dass irgendwer versucht sich via SSH anzumelden. Die auth.log ergibt folgendes:
May 23 11:06:06 delta514 sshd[6578]: Invalid user staff from 195.248.230.23
May 23 11:06:06 delta514 sshd[6578]: (pam_unix) check pass; user unknown
May 23 11:06:06 delta514 sshd[6578]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=webmin02.ari.es
May 23 11:06:08 delta514 sshd[6578]: Failed password for invalid user staff from 195.248.230.23 port 48991 ssh2
May 23 11:06:09 delta514 sshd[6580]: Invalid user sales from 195.248.230.23
May 23 11:06:09 delta514 sshd[6580]: (pam_unix) check pass; user unknown
May 23 11:06:09 delta514 sshd[6580]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=webmin02.ari.es
May 23 11:06:11 delta514 sshd[6580]: Failed password for invalid user sales from 195.248.230.23 port 49245 ssh2
May 23 11:06:11 delta514 sshd[6582]: Invalid user recruit from 195.248.230.23
May 23 11:06:11 delta514 sshd[6582]: (pam_unix) check pass; user unknown
May 23 11:06:11 delta514 sshd[6582]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=webmin02.ari.es
Von diesen Einträgen (immer unterschiedlicher user ABER immer 195.248.230.23 (webmin02.ari.es)) habe ich ungefähr 200 Stück. Nun zu meiner eigentlichen Fragen. Wie kann man sich vor solchen Angriffen schützen? Beziehungsweise fällt dies schon unter der Kategorie Angriff? Und ist diese Aktion strafbar? Wenn ja, sollte man gegen den Administrator Anzeige erstatten?
Ich habe auf dem Server Debian 4.0 etch mit Plesk 8.3 installiert. In der IPTables habe ich keine Regeln definiert (also sämtlicher Traffic erlaubt, außer Weiterleiten). Der SSH Server lässt nur eine Verbindung mit dem Benutzer root zu.
Mit freundlichen Grüßen
BlackJakck0190
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 88338
Url: https://administrator.de/contentid/88338
Printed on: April 25, 2024 at 10:04 o'clock
7 Comments
Latest comment
Ändere den SSH Port auf einen anderen und du hast ruhe da die meist nur den Standardport nehmen
Okay Dankeschön für die fixe Antwort
Das wird aber nicht sein problem lösen... "Security by Obscurity" ist nunmal keine Gefahrenabwehr. Zu dem Problem an sich kann ich leider auch nichts sagen.
MfG
M.Grote
MfG
M.Grote
Der Server von dem diese Anmeldeversuche durchgeführt wurden ist ein Server eines ISP in Spanien, Madrid. Wieso ausgerechnet von solch einem Server? Da muss bestimmt nochmehr hinterstecken.
Mit freundlichen Grüßen
BlackJack
Mit freundlichen Grüßen
BlackJack
Das kannst du ignorieren. Warscheinlich irgend ein gekarperter Server. Du solltest wie schon beschrieben deinen SSH-Port ändern um solche "Default-Scans" mir wörterbüchern abzufangen.
Zusätzlich solltest du nachdenken nur noch Schlüssel anstelle der Kennwörter zu verwenden oder beides.
grüße.
Zusätzlich solltest du nachdenken nur noch Schlüssel anstelle der Kennwörter zu verwenden oder beides.
grüße.
Hallo,
vielleicht kann Du noch den IP-Kreis/DNS-Namen einschränken, von wo Connects erwünscht sind.
vielleicht kann Du noch den IP-Kreis/DNS-Namen einschränken, von wo Connects erwünscht sind.
So habe den Port geändert, die Verbindung nun mit Schlüssel und Passwortabfrage, den SSH Server an eine Virtuelle Netzwerkkarte gebunden und mit IPTables die IP's beschränkt, die sich auf den Server anmelden dürfen. Des Weiteren habe ich alle User außer einem administrativen Account verboten sich via SSH azumelden.
Ich denke das sollte reichen.
Mit freundlichen Grüßen
BJ
Ich denke das sollte reichen.
Mit freundlichen Grüßen
BJ
