Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Attacke von webmin02.ari.es via SSH

Frage Sicherheit Erkennung und -Abwehr

Mitglied: BlackJack0190

BlackJack0190 (Level 1) - Jetzt verbinden

23.05.2008, aktualisiert 24.05.2008, 4791 Aufrufe, 7 Kommentare

Guten Tag,

ich habe einen Rootserver für mich und meien Freunde. Heute war ich im IPTraf, als ich bemekrte, dass irgendwer versucht sich via SSH anzumelden. Die auth.log ergibt folgendes:

May 23 11:06:06 delta514 sshd[6578]: Invalid user staff from 195.248.230.23
May 23 11:06:06 delta514 sshd[6578]: (pam_unix) check pass; user unknown
May 23 11:06:06 delta514 sshd[6578]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=webmin02.ari.es
May 23 11:06:08 delta514 sshd[6578]: Failed password for invalid user staff from 195.248.230.23 port 48991 ssh2
May 23 11:06:09 delta514 sshd[6580]: Invalid user sales from 195.248.230.23
May 23 11:06:09 delta514 sshd[6580]: (pam_unix) check pass; user unknown
May 23 11:06:09 delta514 sshd[6580]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=webmin02.ari.es
May 23 11:06:11 delta514 sshd[6580]: Failed password for invalid user sales from 195.248.230.23 port 49245 ssh2
May 23 11:06:11 delta514 sshd[6582]: Invalid user recruit from 195.248.230.23
May 23 11:06:11 delta514 sshd[6582]: (pam_unix) check pass; user unknown
May 23 11:06:11 delta514 sshd[6582]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=webmin02.ari.es

Von diesen Einträgen (immer unterschiedlicher user ABER immer 195.248.230.23 (webmin02.ari.es)) habe ich ungefähr 200 Stück. Nun zu meiner eigentlichen Fragen. Wie kann man sich vor solchen Angriffen schützen? Beziehungsweise fällt dies schon unter der Kategorie Angriff? Und ist diese Aktion strafbar? Wenn ja, sollte man gegen den Administrator Anzeige erstatten?

Ich habe auf dem Server Debian 4.0 etch mit Plesk 8.3 installiert. In der IPTables habe ich keine Regeln definiert (also sämtlicher Traffic erlaubt, außer Weiterleiten). Der SSH Server lässt nur eine Verbindung mit dem Benutzer root zu.

Mit freundlichen Grüßen

BlackJakck0190
Mitglied: kaiand1
23.05.2008 um 16:50 Uhr
Ändere den SSH Port auf einen anderen und du hast ruhe da die meist nur den Standardport nehmen
Bitte warten ..
Mitglied: BlackJack0190
23.05.2008 um 16:55 Uhr
Okay Dankeschön für die fixe Antwort
Bitte warten ..
Mitglied: 52634
23.05.2008 um 18:47 Uhr
Das wird aber nicht sein problem lösen... "Security by Obscurity" ist nunmal keine Gefahrenabwehr. Zu dem Problem an sich kann ich leider auch nichts sagen.

Mit freundlichen Grüßen
M.Grote
Bitte warten ..
Mitglied: BlackJack0190
23.05.2008 um 18:53 Uhr
Der Server von dem diese Anmeldeversuche durchgeführt wurden ist ein Server eines ISP in Spanien, Madrid. Wieso ausgerechnet von solch einem Server? Da muss bestimmt nochmehr hinterstecken.

Mit freundlichen Grüßen

BlackJack
Bitte warten ..
Mitglied: datasearch
23.05.2008 um 20:18 Uhr
Das kannst du ignorieren. Warscheinlich irgend ein gekarperter Server. Du solltest wie schon beschrieben deinen SSH-Port ändern um solche "Default-Scans" mir wörterbüchern abzufangen.

Zusätzlich solltest du nachdenken nur noch Schlüssel anstelle der Kennwörter zu verwenden oder beides.

grüße.
Bitte warten ..
Mitglied: n.o.b.o.d.y
24.05.2008 um 14:16 Uhr
Hallo,

vielleicht kann Du noch den IP-Kreis/DNS-Namen einschränken, von wo Connects erwünscht sind.
Bitte warten ..
Mitglied: BlackJack0190
24.05.2008 um 18:12 Uhr
So habe den Port geändert, die Verbindung nun mit Schlüssel und Passwortabfrage, den SSH Server an eine Virtuelle Netzwerkkarte gebunden und mit IPTables die IP's beschränkt, die sich auf den Server anmelden dürfen. Des Weiteren habe ich alle User außer einem administrativen Account verboten sich via SSH azumelden.

Ich denke das sollte reichen.

Mit freundlichen Grüßen

BJ
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Netzwerkmanagement
gelöst Auf Debian 8.6 mit Putty zugreifen über SSH, Zugriff verweigert seit der neuen VM (4)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Router & Routing
gelöst MikroTik hAP ac Befehle über SSH (2)

Frage von horstvogel zum Thema Router & Routing ...

Netzwerkmanagement
SSH auf Cisco Router aktivieren, allerdings ohne line vty (8)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...