Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Attacke von webmin02.ari.es via SSH

Frage Sicherheit Erkennung und -Abwehr

Mitglied: BlackJack0190

BlackJack0190 (Level 1) - Jetzt verbinden

23.05.2008, aktualisiert 24.05.2008, 4805 Aufrufe, 7 Kommentare

Guten Tag,

ich habe einen Rootserver für mich und meien Freunde. Heute war ich im IPTraf, als ich bemekrte, dass irgendwer versucht sich via SSH anzumelden. Die auth.log ergibt folgendes:

May 23 11:06:06 delta514 sshd[6578]: Invalid user staff from 195.248.230.23
May 23 11:06:06 delta514 sshd[6578]: (pam_unix) check pass; user unknown
May 23 11:06:06 delta514 sshd[6578]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=webmin02.ari.es
May 23 11:06:08 delta514 sshd[6578]: Failed password for invalid user staff from 195.248.230.23 port 48991 ssh2
May 23 11:06:09 delta514 sshd[6580]: Invalid user sales from 195.248.230.23
May 23 11:06:09 delta514 sshd[6580]: (pam_unix) check pass; user unknown
May 23 11:06:09 delta514 sshd[6580]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=webmin02.ari.es
May 23 11:06:11 delta514 sshd[6580]: Failed password for invalid user sales from 195.248.230.23 port 49245 ssh2
May 23 11:06:11 delta514 sshd[6582]: Invalid user recruit from 195.248.230.23
May 23 11:06:11 delta514 sshd[6582]: (pam_unix) check pass; user unknown
May 23 11:06:11 delta514 sshd[6582]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=webmin02.ari.es

Von diesen Einträgen (immer unterschiedlicher user ABER immer 195.248.230.23 (webmin02.ari.es)) habe ich ungefähr 200 Stück. Nun zu meiner eigentlichen Fragen. Wie kann man sich vor solchen Angriffen schützen? Beziehungsweise fällt dies schon unter der Kategorie Angriff? Und ist diese Aktion strafbar? Wenn ja, sollte man gegen den Administrator Anzeige erstatten?

Ich habe auf dem Server Debian 4.0 etch mit Plesk 8.3 installiert. In der IPTables habe ich keine Regeln definiert (also sämtlicher Traffic erlaubt, außer Weiterleiten). Der SSH Server lässt nur eine Verbindung mit dem Benutzer root zu.

Mit freundlichen Grüßen

BlackJakck0190
Mitglied: kaiand1
23.05.2008 um 16:50 Uhr
Ändere den SSH Port auf einen anderen und du hast ruhe da die meist nur den Standardport nehmen
Bitte warten ..
Mitglied: BlackJack0190
23.05.2008 um 16:55 Uhr
Okay Dankeschön für die fixe Antwort
Bitte warten ..
Mitglied: 52634
23.05.2008 um 18:47 Uhr
Das wird aber nicht sein problem lösen... "Security by Obscurity" ist nunmal keine Gefahrenabwehr. Zu dem Problem an sich kann ich leider auch nichts sagen.

MfG
M.Grote
Bitte warten ..
Mitglied: BlackJack0190
23.05.2008 um 18:53 Uhr
Der Server von dem diese Anmeldeversuche durchgeführt wurden ist ein Server eines ISP in Spanien, Madrid. Wieso ausgerechnet von solch einem Server? Da muss bestimmt nochmehr hinterstecken.

Mit freundlichen Grüßen

BlackJack
Bitte warten ..
Mitglied: datasearch
23.05.2008 um 20:18 Uhr
Das kannst du ignorieren. Warscheinlich irgend ein gekarperter Server. Du solltest wie schon beschrieben deinen SSH-Port ändern um solche "Default-Scans" mir wörterbüchern abzufangen.

Zusätzlich solltest du nachdenken nur noch Schlüssel anstelle der Kennwörter zu verwenden oder beides.

grüße.
Bitte warten ..
Mitglied: n.o.b.o.d.y
24.05.2008 um 14:16 Uhr
Hallo,

vielleicht kann Du noch den IP-Kreis/DNS-Namen einschränken, von wo Connects erwünscht sind.
Bitte warten ..
Mitglied: BlackJack0190
24.05.2008 um 18:12 Uhr
So habe den Port geändert, die Verbindung nun mit Schlüssel und Passwortabfrage, den SSH Server an eine Virtuelle Netzwerkkarte gebunden und mit IPTables die IP's beschränkt, die sich auf den Server anmelden dürfen. Des Weiteren habe ich alle User außer einem administrativen Account verboten sich via SSH azumelden.

Ich denke das sollte reichen.

Mit freundlichen Grüßen

BJ
Bitte warten ..
Ähnliche Inhalte
Ubuntu
Server bei neustart via SSH nicht mehr erreichbar (4)

Frage von fundave3 zum Thema Ubuntu ...

Linux Netzwerk
SSH Trennung wenn Idle (7)

Frage von OIOOIOOIOIIOOOIIOIIOIOOO zum Thema Linux Netzwerk ...

Netzwerkmanagement
gelöst SSH bei einem Cisco Switch SF200 24P 24-Port 10 100 PoE Smart Switch aktivieren (12)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Erkennung und -Abwehr
Erpressungs-Trojaner FireCrypt versucht sich nebenbei an DDoS-Attacke (1)

Link von BassFishFox zum Thema Erkennung und -Abwehr ...

Neue Wissensbeiträge
RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Komplett neues Netzwerk, Ubiquiti WLAN, Router, Switch (16)

Frage von Freak-On-Silicon zum Thema LAN, WAN, Wireless ...

CMS
Lokales Wordpress im LAN - wie aufsetzen? (16)

Frage von Static zum Thema CMS ...

LAN, WAN, Wireless
IP im privaten Netz nicht erreichbar (14)

Frage von guntis zum Thema LAN, WAN, Wireless ...

Windows Userverwaltung
gelöst Wie verfahrt Ihr mit den Windows-Benutzerkonten und -dateien von ausgeschiedenen Mitarbeitern? (14)

Frage von Bl0ckS1z3 zum Thema Windows Userverwaltung ...