|
|
|
|
|
|
Freak
Registrierungsdatum: May 2006
Beiträge: 64
|
Probiert jemand auf meinen Server zu kommen?
Hallo Leute
Ich hab mir vor kurzen einen RootServer bei World4you.com zugelegt.
Und muss sagen ich bin ein ziemlicher Anfänger in Server sachen aber bin dabei es zu lernen.
Also zu meiner Frage jetzt ich hab mir mein log. angeschaut und in den letzten drei Tagen Probiert glaub ich wer auf meinen Server zu kommen, kann das sein oder was macht der da?
Und kann ich das mit ssh dann abstellen oder wie mach ich es das er das nicht mehr macht ?
Code:
SFTP subsystem requests: 3 Time(s)
**Unmatched Entries**
Invalid user apple from 81.208.101.33
input_userauth_request: invalid user apple
Failed password for invalid user apple from 81.208.101.33 port 40069 ssh2
Invalid user brian from 81.208.101.33
input_userauth_request: invalid user brian
Failed password for invalid user brian from 81.208.101.33 port 40327 ssh2
Invalid user andrew from 81.208.101.33
input_userauth_request: invalid user andrew
Failed password for invalid user andrew from 81.208.101.33 port 40582 ssh2
Invalid user newsroom from 81.208.101.33
input_userauth_request: invalid user newsroom
Failed password for invalid user newsroom from 81.208.101.33 port 40854 ssh2
Invalid user magazine from 81.208.101.33
input_userauth_request: invalid user magazine
Failed password for invalid user magazine from 81.208.101.33 port 41108 ssh2
Invalid user research from 81.208.101.33
input_userauth_request: invalid user research
Failed password for invalid user research from 81.208.101.33 port 41359 ssh2
Invalid user cjohnson from 81.208.101.33
input_userauth_request: invalid user cjohnson
Failed password for invalid user cjohnson from 81.208.101.33 port 41605 ssh2
Invalid user export from 81.208.101.33
input_userauth_request: invalid user export
Failed password for invalid user export from 81.208.101.33 port 41847 ssh2
Invalid user photo from 81.208.101.33
input_userauth_request: invalid user photo
Failed password for invalid user photo from 81.208.101.33 port 42088 ssh2
Invalid user gast from 81.208.101.33
input_userauth_request: invalid user gast
Failed password for invalid user gast from 81.208.101.33 port 42349 ssh2
Invalid user murray from 81.208.101.33
input_userauth_request: invalid user murray
Failed password for invalid user murray from 81.208.101.33 port 42588 ssh2
Invalid user falcon from 81.208.101.33
input_userauth_request: invalid user falcon
Failed password for invalid user falcon from 81.208.101.33 port 43040 ssh2
Invalid user fly from 81.208.101.33
input_userauth_request: invalid user fly
Failed password for invalid user fly from 81.208.101.33 port 43268 ssh2
Invalid user gerry from 81.208.101.33
input_userauth_request: invalid user gerry
Failed password for invalid user gerry from 81.208.101.33 port 43524 ssh2
Invalid user t1na from 80.94.55.7
input_userauth_request: invalid user t1na
Failed password for invalid user t1na from 80.94.55.7 port 2344 ssh2
Invalid user t1na from 80.94.55.7
input_userauth_request: invalid user t1na
Failed password for invalid user t1na from 80.94.55.7 port 3262 ssh2
Invalid user logic from 80.94.55.7
input_userauth_request: invalid user logic
Failed password for invalid user logic from 80.94.55.7 port 3711 ssh2
Invalid user diablo from 80.94.55.7
input_userauth_request: invalid user diablo
Failed password for invalid user diablo from 80.94.55.7 port 4183 ssh2
Invalid user b1ablo from 80.94.55.7
input_userauth_request: invalid user b1ablo
Failed password for invalid user b1ablo from 80.94.55.7 port 1353 ssh2
Invalid user paradise from 80.94.55.7
input_userauth_request: invalid user paradise
Failed password for invalid user paradise from 80.94.55.7 port 1644 ssh2
Invalid user paradisse from 80.94.55.7
input_userauth_request: invalid user paradisse
Failed password for invalid user paradisse from 80.94.55.7 port 1966 ssh2
Invalid user baggio from 80.94.55.7
input_userauth_request: invalid user baggio
Failed password for invalid user baggio from 80.94.55.7 port 2269 ssh2
Invalid user roberto from 80.94.55.7
input_userauth_request: invalid user roberto
Failed password for invalid user roberto from 80.94.55.7 port 2624 ssh2
Invalid user kim from 80.94.55.7
input_userauth_request: invalid user kim
Failed password for invalid user kim from 80.94.55.7 port 2934 ssh2
Invalid user space from 80.94.55.7
input_userauth_request: invalid user space
Failed password for invalid user space from 80.94.55.7 port 3253 ssh2
Invalid user globe from 80.94.55.7
input_userauth_request: invalid user globe
Failed password for invalid user globe from 80.94.55.7 port 3571 ssh2
Invalid user oscar from 80.94.55.7
input_userauth_request: invalid user oscar
Failed password for invalid user oscar from 80.94.55.7 port 3892 ssh2
Invalid user simbol from 80.94.55.7
|
14. 09. 2007, 14:39
|
#1
|
|
Mitglied
Registrierungsdatum: Jul 2007
Beiträge: 675
|
Re: Probiert jemand auf meinen Server zu kommen?
Zitat:
IP address: 80.94.55.7
No host name is associated with this IP address or no reverse lookup is configured.
Error:Host not found
80.94.55.7 is from Slovak Republic(SK) in region Europe
|
Ja, ja da versucht jemand per SSH nen Passwort zu knacken.
Google mal nach fail2ban wenn du das unterbinden willst, oder verleg den SSH Port auf irgendwas >10000.
|
|
14. 09. 2007, 15:04
|
#2
|
|
ex-Moderator
Registrierungsdatum: Jun 2000
Ort: /home/vmk
Beiträge: 15.403
|
Re: Probiert jemand auf meinen Server zu kommen?
Das ist nur Netzrauschen, das ist normal. Hoffe du hast keine aktuellen Sicherheitslücken sowie aktuelle Passwörter. Irgendwann kommt sicher jemand vorbei der nicht nur blind ein paar dumme Accounts testet...
|
|
14. 09. 2007, 15:09
|
#3
|
|
katastrophal!
Registrierungsdatum: Mar 2001
Ort: Tübingen
Beiträge: 591
|
Re: Probiert jemand auf meinen Server zu kommen?
Leider macht mich dieser Satz stutzig.
Zitat:
Ich hab mir vor kurzen einen RootServer bei World4you.com zugelegt.
Und muss sagen ich bin ein ziemlicher Anfänger in Server sachen aber bin dabei es zu lernen.
|
wo er recht hat!
So viel dazu.
|
|
14. 09. 2007, 15:21
|
#4
|
|
Freak
(Threadstarter)
Registrierungsdatum: May 2006
Beiträge: 64
|
Re: Probiert jemand auf meinen Server zu kommen?
@hashy
Zitat:
Ja, ja da versucht jemand per SSH nen Passwort zu knacken.
Google mal nach fail2ban wenn du das unterbinden willst, oder verleg den SSH Port auf irgendwas >10000.
|
Danke für das programm
@vmk
Zitat:
|
Das ist nur Netzrauschen, das ist normal. Hoffe du hast keine aktuellen Sicherheitslücken sowie aktuelle Passwörter. Irgendwann kommt sicher jemand vorbei der nicht nur blind ein paar dumme Accounts testet...
|
Netzrauschen? Ich kann mir zwar ca. vorstellen was das ist aber ob es wirklich so ne artstörung im internet ist oder kA *g* Ich meine in die Drei Tage war es einmal eine ip aus Hongkong dann aus Liebien und jetzt Slowakai. Und immer so gegen 12 Uhr miternachts passiert das.
@LordMat
Danke ich weiss es nur ich hatte mir halt davor nicht Vorgestellt das es so viel Aufwand ist einen Root zu betreiben aber jetzt hab ich schon alles gekauft.
Weil ich hatte davor einige Domainserver und mir ging das am Nerv immer den support zu schreiben wenn ich was brauch und für die Community weil einiges auch nicht funktionierte.
Deswegen bin ich ja dabei für den Anfang alles so schnell wie möglich zu lernen und später will ich eh einen Administrator einstellen.
|
|
14. 09. 2007, 16:02
|
#5
|
|
Techmin
Registrierungsdatum: Sep 2003
Ort: K-Pax
Beiträge: 5.402
|
Re: Probiert jemand auf meinen Server zu kommen?
Zitat:
|
Zitat von NODGUARD
@vmk
Netzrauschen? Ich kann mir zwar ca. vorstellen was das ist aber ob es wirklich so ne artstörung im internet ist oder kA *g* Ich meine in die Drei Tage war es einmal eine ip aus Hongkong dann aus Liebien und jetzt Slowakai. Und immer so gegen 12 Uhr miternachts passiert das.
|
Unter Netzrauschen versteht man nicht irgendeine Fehlfunktion, die sich in automatischen Einloggversuchen äußert, sondern ein mittlerweile zur Gewohnheit gewordenes Brute-Force "Netzwerk" wenn du so willst, das scheinbar wahrlos versucht, sich auf irgendwelchen Servern einzuloggen...
|
|
14. 09. 2007, 16:05
|
#6
|
|
katastrophal!
Registrierungsdatum: Mar 2001
Ort: Tübingen
Beiträge: 591
|
Re: Probiert jemand auf meinen Server zu kommen?
Zitat:
|
Zitat von NODGUARD
@LordMat
Danke ich weiss es nur ich hatte mir halt davor nicht Vorgestellt das es so viel Aufwand ist einen Root zu betreiben aber jetzt hab ich schon alles gekauft.
|
Sorry, aber ich kann da wirklich nur noch mal eins Zitieren.
Zitat:
|
Auch die allseits so beliebte Ausrede "Jeder faengt mal klein an!" zaehlt hier nicht. Die Administration von Servern ist eine Aufgabe fuer Leute mit Erfahrung. Ein oeffentlicher Root-Server ist kein Uebungsplatz um Erfahrungen zu sammeln! Die muss man naemlich schon haben wenn man sich einen Root-Server mietet. Mir persoenlich ist das aber ziemlich relativ; je mehr unfaehige User Scheisse bauen, desto mehr kriegen einen Denkzettel und desto mehr bezahlte Arbeit habe ich. Also ist allen geholfen :->
|
(quelle, siehe b. o.)
Am besten du legst dein ssh port, weit ueber 10000!
Am besten suchst du dir dafür ne Anleitung, wie du dein ssh am besten schuetzn kannst.
|
|
14. 09. 2007, 16:56
|
#7
|
|
ex-Moderator
Registrierungsdatum: Jun 2000
Ort: /home/vmk
Beiträge: 15.403
|
Re: Probiert jemand auf meinen Server zu kommen?
Zitat:
|
Zitat von LordMat
Am besten du legst dein ssh port, weit ueber 10000!
|
Sinn der Aktion? Keiner.
|
|
14. 09. 2007, 17:04
|
#8
|
|
katastrophal!
Registrierungsdatum: Mar 2001
Ort: Tübingen
Beiträge: 591
|
Re: Probiert jemand auf meinen Server zu kommen?
Zitat:
|
Zitat von vmk
Sinn der Aktion? Keiner.
|
Es geht um automatisierte Woerterbuchattacken. Diese Scripte oder Bots probieren einfach die gaengigen User und Passworter auf dem Default Port durch.
Wenn man den SSHD auf nen anderen Port legt, gehen diese Angriffe ins leere, da eben nicht geprueft wird auf welchem Port der SSHD lauscht.
Oder etwa nicht?
|
|
14. 09. 2007, 17:07
|
#9
|
|
ex-Moderator
Registrierungsdatum: Jun 2000
Ort: /home/vmk
Beiträge: 15.403
|
Re: Probiert jemand auf meinen Server zu kommen?
Wer sich durch eine Wörterbuchattacke den Server knacken lässt, dem darf meiner Meinung nach der Hoster ruhig fristlos kündigen.
Lösung: ssh-key-only sowie denyhosts oder fail2ban laufen lassen.
|
|
14. 09. 2007, 17:21
|
#10
|
|
Mitglied
Registrierungsdatum: Jul 2007
Beiträge: 675
|
Re: Probiert jemand auf meinen Server zu kommen?
Zitat:
|
Zitat von vmk
Sinn der Aktion? Keiner.
|
Der Sinn ist, dass man diesem "Netzrauschen" entgeht und somit der, wenn auch sehr kleine Warscheinlichkeit entgeht dass ein Passwort gefunden wird. Wenn es sich um einen Server handelt der nur privat genutzt wird oder auf den keine Endkunden zugreifen sollen hatt das Verlegen des Ports sehr wohl einen Sinn.
Ähnliche Sachen kann man noch mit FTP machen, PHP expose_php = off und dem Servername vom Apachen verstecken: ServerToken Prod. Es gibt nicht umsonst diese Einstellungsmöglichkeiten.
Ausserdem bieten dieses Verstecken eines Dienstes Schutz vor möglichen Remote Exploits und damit möglicherweise einhergehenden Würmern. Wie etwa der Shoutcast Remote Exploit oder der Mysql Wurm.
Ein Fachbegriff für soein Handeln ist:
http://de.wikipedia.org/wiki/Security_through_obscurity
Bitte verurteile nicht einfach blindlings Sachen.
Geändert von hashy (14. 09. 2007 um 18:26 Uhr).
|
|
14. 09. 2007, 18:06
|
#11
|
|
ex-Moderator
Registrierungsdatum: Jun 2000
Ort: /home/vmk
Beiträge: 15.403
|
Re: Probiert jemand auf meinen Server zu kommen?
SSH: Wieso dieser Aufwand wenn ich ein sicheres Passwort habe? Wer wirklich an den SSH-Daemon will, der findet den eh innerhalb weniger Sekunden.
|
|
14. 09. 2007, 18:11
|
#12
|
|
Freak
(Threadstarter)
Registrierungsdatum: May 2006
Beiträge: 64
|
Re: Probiert jemand auf meinen Server zu kommen?
Also wenn ein Passwort zB. so aussieht: 2%NrE(9!T"8§&6/ ist das sicher?
Schon oder aber man wird es sicher Knacken können irgentwie oder?
Und es einmal Wöchentlich ändert
|
|
14. 09. 2007, 19:06
|
#13
|
|
loves Suzuna
Registrierungsdatum: Apr 2006
Ort: next to the moon
Beiträge: 982
|
Re: Probiert jemand auf meinen Server zu kommen?
Zitat:
|
Zitat von NODGUARD
Also wenn ein Passwort zB. so aussieht: 2%NrE(9!T"8§&6/ ist das sicher?
Schon oder aber man wird es sicher Knacken können irgentwie oder?
Und es einmal Wöchentlich ändert
|
Nein, das kann man im Normalfall nicht, weil sowas eigentlich nur mit Bruteforce knackbar ist, oder du das Passwort irgendwo unabsichtlich hinterlegt hast.... oder das OS ein Bug hat durch den man das Kennwort auslesen kann (geht im normalfall nicht), oder es ändern, bzw. andersweitig die Rechte des betroffenen Users bekommen kann...
|
|
14. 09. 2007, 19:24
|
#14
|
|
Mitglied
Registrierungsdatum: Jul 2007
Beiträge: 675
|
Re: Probiert jemand auf meinen Server zu kommen?
Zitat:
|
Zitat von NODGUARD
Also wenn ein Passwort zB. so aussieht: 2%NrE(9!T"8§&6/ ist das sicher?
Schon oder aber man wird es sicher Knacken können irgentwie oder?
Und es einmal Wöchentlich ändert
|
Es ist sicher da GROSS- sowie klein- buchstaben und Sonderzeichen dabei sind. Ausserdem ist es schön lang.
Natürlich lässt sich selbst soein Passwort knacken, fragt sich nur wie lange man dafür braucht...
Passwörter wöchentlich wechseln wird nicht viel bringen wenn das System kompromittiert wurde, ist aber auch ein möglicher Schutz.
|
|
14. 09. 2007, 19:24
|
#15
|
|
¶
Registrierungsdatum: Aug 2001
Beiträge: 1.323
|
Re: Probiert jemand auf meinen Server zu kommen?
Eine weitere gute Möglichkeit neben ssh-key-only wäre den ssh-Zugang für root komplett einzuschränken, d.h. man legt sich einen neuen Benutzer, mit nur geringen Rechten, an:
http://www.debianhowto.de/doku.php/de:howtos:woody:ssh
|
|
15. 09. 2007, 06:34
|
#16
|
|
|
Alle Zeitangaben in UTC +1. Es ist jetzt 08:37 Uhr.
|
|
