Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Attacke von webmin02.ari.es via SSH

Frage Sicherheit Erkennung und -Abwehr

Mitglied: BlackJack0190

BlackJack0190 (Level 1) - Jetzt verbinden

23.05.2008, aktualisiert 24.05.2008, 4803 Aufrufe, 7 Kommentare

Guten Tag,

ich habe einen Rootserver für mich und meien Freunde. Heute war ich im IPTraf, als ich bemekrte, dass irgendwer versucht sich via SSH anzumelden. Die auth.log ergibt folgendes:

May 23 11:06:06 delta514 sshd[6578]: Invalid user staff from 195.248.230.23
May 23 11:06:06 delta514 sshd[6578]: (pam_unix) check pass; user unknown
May 23 11:06:06 delta514 sshd[6578]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=webmin02.ari.es
May 23 11:06:08 delta514 sshd[6578]: Failed password for invalid user staff from 195.248.230.23 port 48991 ssh2
May 23 11:06:09 delta514 sshd[6580]: Invalid user sales from 195.248.230.23
May 23 11:06:09 delta514 sshd[6580]: (pam_unix) check pass; user unknown
May 23 11:06:09 delta514 sshd[6580]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=webmin02.ari.es
May 23 11:06:11 delta514 sshd[6580]: Failed password for invalid user sales from 195.248.230.23 port 49245 ssh2
May 23 11:06:11 delta514 sshd[6582]: Invalid user recruit from 195.248.230.23
May 23 11:06:11 delta514 sshd[6582]: (pam_unix) check pass; user unknown
May 23 11:06:11 delta514 sshd[6582]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=webmin02.ari.es

Von diesen Einträgen (immer unterschiedlicher user ABER immer 195.248.230.23 (webmin02.ari.es)) habe ich ungefähr 200 Stück. Nun zu meiner eigentlichen Fragen. Wie kann man sich vor solchen Angriffen schützen? Beziehungsweise fällt dies schon unter der Kategorie Angriff? Und ist diese Aktion strafbar? Wenn ja, sollte man gegen den Administrator Anzeige erstatten?

Ich habe auf dem Server Debian 4.0 etch mit Plesk 8.3 installiert. In der IPTables habe ich keine Regeln definiert (also sämtlicher Traffic erlaubt, außer Weiterleiten). Der SSH Server lässt nur eine Verbindung mit dem Benutzer root zu.

Mit freundlichen Grüßen

BlackJakck0190
Mitglied: kaiand1
23.05.2008 um 16:50 Uhr
Ändere den SSH Port auf einen anderen und du hast ruhe da die meist nur den Standardport nehmen
Bitte warten ..
Mitglied: BlackJack0190
23.05.2008 um 16:55 Uhr
Okay Dankeschön für die fixe Antwort
Bitte warten ..
Mitglied: 52634
23.05.2008 um 18:47 Uhr
Das wird aber nicht sein problem lösen... "Security by Obscurity" ist nunmal keine Gefahrenabwehr. Zu dem Problem an sich kann ich leider auch nichts sagen.

MfG
M.Grote
Bitte warten ..
Mitglied: BlackJack0190
23.05.2008 um 18:53 Uhr
Der Server von dem diese Anmeldeversuche durchgeführt wurden ist ein Server eines ISP in Spanien, Madrid. Wieso ausgerechnet von solch einem Server? Da muss bestimmt nochmehr hinterstecken.

Mit freundlichen Grüßen

BlackJack
Bitte warten ..
Mitglied: datasearch
23.05.2008 um 20:18 Uhr
Das kannst du ignorieren. Warscheinlich irgend ein gekarperter Server. Du solltest wie schon beschrieben deinen SSH-Port ändern um solche "Default-Scans" mir wörterbüchern abzufangen.

Zusätzlich solltest du nachdenken nur noch Schlüssel anstelle der Kennwörter zu verwenden oder beides.

grüße.
Bitte warten ..
Mitglied: n.o.b.o.d.y
24.05.2008 um 14:16 Uhr
Hallo,

vielleicht kann Du noch den IP-Kreis/DNS-Namen einschränken, von wo Connects erwünscht sind.
Bitte warten ..
Mitglied: BlackJack0190
24.05.2008 um 18:12 Uhr
So habe den Port geändert, die Verbindung nun mit Schlüssel und Passwortabfrage, den SSH Server an eine Virtuelle Netzwerkkarte gebunden und mit IPTables die IP's beschränkt, die sich auf den Server anmelden dürfen. Des Weiteren habe ich alle User außer einem administrativen Account verboten sich via SSH azumelden.

Ich denke das sollte reichen.

Mit freundlichen Grüßen

BJ
Bitte warten ..
Ähnliche Inhalte
Ubuntu
Server bei neustart via SSH nicht mehr erreichbar (4)

Frage von fundave3 zum Thema Ubuntu ...

Linux Netzwerk
SSH Trennung wenn Idle (7)

Frage von OIOOIOOIOIIOOOIIOIIOIOOO zum Thema Linux Netzwerk ...

Netzwerkmanagement
gelöst SSH bei einem Cisco Switch SF200 24P 24-Port 10 100 PoE Smart Switch aktivieren (12)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Erkennung und -Abwehr
Erpressungs-Trojaner FireCrypt versucht sich nebenbei an DDoS-Attacke (1)

Link von BassFishFox zum Thema Erkennung und -Abwehr ...

Neue Wissensbeiträge
Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(9)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(6)

Anleitung von BassFishFox zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Batch & Shell
gelöst ZIP-Archive nach Dateien durchsuchen und Pfade ausgeben (33)

Frage von evinben zum Thema Batch & Shell ...

Router & Routing
Routingproblem in Homerouter-Kaskade mit Raspi (20)

Frage von Oldschool zum Thema Router & Routing ...

Server
Freenas schlechte Schreib Performance bei NFS (16)

Frage von janosch12 zum Thema Server ...

C und C++
Methode multiple return values (8)

Frage von mayho33 zum Thema C und C ...