Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[linux] word gehackt!

Pagina: 1
Acties:

vrijdag 3 juni 2005 12:08

Acties:
  • PiweD
  • Registratie: Augustus 2004
  • Niet online

PiweD

Redacteur
Topicstarter
het viel me op dat de lampjes op me router zo veel knipperden, voor een server die eigelijk niets hoort te doen, dus ik ging ff kijken in /var/logs/messages:


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

Jan 10 17:13:34 trinity sshd[11616]: Illegal user mallory from 61.40.63.155
Jan 10 17:13:34 trinity sshd[11615]: Illegal user sarah from 61.40.63.155
Jan 10 17:13:36 trinity sshd[11619]: Illegal user giselle from 61.40.63.155
Jan 10 17:13:37 trinity sshd[11620]: Illegal user ashley from 61.40.63.155
Jan 10 17:13:40 trinity sshd[11623]: Illegal user madison from 61.40.63.155
Jan 10 17:13:42 trinity sshd[11625]: Illegal user hannah from 61.40.63.155
Jan 10 17:13:44 trinity sshd[11627]: Illegal user aaliyah from 61.40.63.155
Jan 10 17:13:45 trinity sshd[11629]: Illegal user emily from 61.40.63.155
Jan 10 17:13:47 trinity sshd[11631]: Illegal user savanna from 61.40.63.155
Jan 10 17:13:48 trinity sshd[11633]: Illegal user tracy from 61.40.63.155
Jan 10 17:13:50 trinity sshd[11635]: Illegal user serena from 61.40.63.155
Jan 10 17:13:51 trinity sshd[11637]: Illegal user audra from 61.40.63.155
Jan 10 17:13:53 trinity sshd[11639]: Illegal user casey from 61.40.63.155
Jan 10 17:13:54 trinity sshd[11641]: Illegal user jaleel from 61.40.63.155
Jan 10 17:13:57 trinity sshd[11643]: Illegal user amelia from 61.40.63.155
Jan 10 17:13:57 trinity sshd[11645]: Illegal user melisa from 61.40.63.155
Jan 10 17:13:59 trinity sshd[11647]: Illegal user delaney from 61.40.63.155
Jan 10 17:14:01 trinity sshd[11649]: Illegal user donnell from 61.40.63.155
Jan 10 17:14:02 trinity sshd[11651]: Illegal user abby from 61.40.63.155
Jan 10 17:14:04 trinity sshd[11653]: Illegal user marlen from 61.40.63.155
Jan 10 17:14:05 trinity sshd[11655]: Illegal user karla from 61.40.63.155
Jan 10 17:14:07 trinity sshd[11657]: Illegal user treyvon from 61.40.63.155


wat doe ik hieraan :(


edit: deze lijst gaat dus nog veel verder door
En de datum klopt niet, dit is van zo'n 3 minuten geleden...

[ Voor 4% gewijzigd door PiweD op 03-06-2005 12:10 ]

so·wie·so (bijwoord) - 1 hoe dan ook

vrijdag 3 juni 2005 12:20

Acties:

Verwijderd

Block 61.40.63.155 in je firewall

Enne.. zover ik weet is dit geen succesvolle hack.. alleen maar iemand die probeert toegang te krijgen
En de datum klopt niet, dit is van zo'n 3 minuten geleden...
Klopt de tijd op je server wel?? (NTP update?)

[ Voor 94% gewijzigd door Verwijderd op 03-06-2005 12:25 ]

vrijdag 3 juni 2005 12:21

Acties:

Verwijderd

Ip (range) blokkeren?
Zorg er voor dat men niet als root kan inloggen (en dat alleen bepaalde users dit kunnen op de machine)
Zorg dat secure passwords hebt.. dus geen 1q2w3e4r oid.
En zorg natuurlijk dat je up to date ben.. en geen oude gehackte zooi hebt..

vrijdag 3 juni 2005 12:24

Acties:
  • Arno
  • Registratie: Juli 2000
  • Laatst online: 10:09

Arno

PF5A

offtopic:
Je datum staat verkeerd

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

vrijdag 3 juni 2005 12:25

Acties:
  • Zwerver
  • Registratie: Februari 2001
  • Niet online

Zwerver

Toename ssh login attempts in Beveiliging & Virussen is een leuk topic wat hierover gaat ;) Daarbij horen dit soort topics toch echt in Beveiliging & Virussen dus ik gooi hem even daarheen.

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

vrijdag 3 juni 2005 12:27

Acties:
  • Cyphax
  • Registratie: November 2000
  • Laatst online: 11:12

Cyphax

Moderator LNX
Verwijderd schreef op vrijdag 03 juni 2005 @ 12:21:
Zorg er voor dat men niet als root kan inloggen (en dat alleen bepaalde users dit kunnen op de machine)
Deze is wel belangrijk, root login disablen. Dan moeten ze usernames gaan gokken EN passwords; dat lukt echt niet. root daarentegen is bekend, hoeven ze alleen nog passwords te gokken. :)
Als je echt bang bent om gehackt te worden pas je deze dingen aan met je router offline.

Saved by the buoyancy of citrus

vrijdag 3 juni 2005 12:47

Acties:
  • PiweD
  • Registratie: Augustus 2004
  • Niet online

PiweD

Redacteur
Topicstarter
het bleef maar doorgaan dus ik heb poort 22 maar gewoon dichtgegooit @ de router :/

waar kan ik instellen wie er wel en niet mag inloggen via ssh?

so·wie·so (bijwoord) - 1 hoe dan ook

vrijdag 3 juni 2005 12:50

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Zucht, paranoia.

Dit is gewoon een wormpje, geen persoon die een bruteforce op je uitvoert hoor. Zolang je geen voorspelbare passwords hebt hoef je niet bang te zijn.

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 3 juni 2005 12:52

Acties:
  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf

ehm, je gooit de hele service eruit omdat je niet weet hoe je een IP moet blokken?
Laatst had ik hetzelfde, even een abuse mailtje sturen en het probleem was zo opgelost _o_

(overigens is het eenvouidigst gewoon een line toevoegen in /etc/hosts.deny)

zaterdag 4 juni 2005 09:38

Acties:
  • H!GHGuY
  • Registratie: December 2002
  • Niet online

H!GHGuY

Try and take over the world...

ik zou zelfs aanraden om SSH gewoon op een andere poort te draaien...
veel wormen/trojans/whatever zoeken op standaard poorten. een tijdje geleden probeerde iemand poort via poort 1433 en 1434 onze MS-SQL server to hacken... stom van ons om het op die poort te draaien, maar m'n broer die de MS-SQL beheert wou het zo houden. het was een pure brute-force aanval (met ethereal het handeltje gecaptured en bekeken)

ondertussen draaien deze services op niet-standaard poorten. veel mensen gebruiken voor SSH 2122, 2200, 2223 of iets dergelijks...

ASSUME makes an ASS out of U and ME

zaterdag 4 juni 2005 10:10

Acties:
  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf

door op andere poorten draaien creeer je alleen voor je zelf een extra stap, en is niet echt nuttig.
Iets als een SQL server moet je sowieso niet op internet open hebben staan, nergens voor nodig.
Zolang je de boel patched en een goede firewall hebt (en passwords) is er niks mis mee met het draaien op standaard poorten.

zaterdag 4 juni 2005 17:14

Acties:
  • H!GHGuY
  • Registratie: December 2002
  • Niet online

H!GHGuY

Try and take over the world...

ik heb et nodig omdat ik vanop m'n studentenkamer ook aan de DB moet (en er waren nog enkele mensen)

ASSUME makes an ASS out of U and ME

zaterdag 4 juni 2005 17:18

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

HIGHGuY schreef op zaterdag 04 juni 2005 @ 17:14:
ik heb et nodig omdat ik vanop m'n studentenkamer ook aan de DB moet (en er waren nog enkele mensen)
VPN? Firewall? Alsnog geen reden om je SQLd open en bloot te hebben...

zaterdag 4 juni 2005 17:20

Acties:

Verwijderd

er zijn zoveel wormpjes die @random proberen ergens binnen te komen. Poort dichtgooien is daarom onzinnig. Je gaat toch ook niet van e-mailadres veranderen omdat je spam krijgt (alhoewel, wel als je heul veul krijgt, wellicht geen goede vergelijking, het gaat erom dat je je niet opgejaagd moet voelen door iets doodnormaals)?
Het moet doodsimpel zijn om ff een ip-adres of -range te blokkeren. Of gewoon kijken hoeveel Engelstalige voornamen zo'n worm verzint i.c.m. verzonnen wachtwoorden om bij jou binnen te komen. Natuurlijk lukt dat nooit! :D

zaterdag 4 juni 2005 17:23

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Verwijderd schreef op zaterdag 04 juni 2005 @ 17:20:
Of gewoon kijken hoeveel Engelstalige voornamen zo'n worm verzint i.c.m. verzonnen wachtwoorden om bij jou binnen te komen. Natuurlijk lukt dat nooit! :D
Zeg nooit nooit :X Niet dat 't bij mij zal overkomen, maar ik ben bang dat er genoeg "sysadmins" zijn die wel een te gokken root-pwd hebben en root login ook nog eens aan enzo.. :/

zaterdag 4 juni 2005 17:34

Acties:
  • smokalot
  • Registratie: Juni 2001
  • Laatst online: 27-09 08:46

smokalot

titel onder

Osiris schreef op zaterdag 04 juni 2005 @ 17:23:
[...]

Zeg nooit nooit :X Niet dat 't bij mij zal overkomen, maar ik ben bang dat er genoeg "sysadmins" zijn die wel een te gokken root-pwd hebben en root login ook nog eens aan enzo.. :/
deze wormen richten zich echter vooral op non-root users. zie ook het log.

kansloos dus, heel misschien dat bij bakken met duizenden users de betreffende username er idd bijzit, en dat ook nog eens het goede wachtwoord geprobeerd wordt. maar hoeveel van dat soort bakken hebben ssh zomaar voor iedereen openstaan? de gemiddelde sarah, tracy en serena hebben helemaal niks te zoeken bij ssh...

It sounds like it could be either bad hardware or software

zaterdag 4 juni 2005 17:39

Acties:

Verwijderd

smokalot schreef op zaterdag 04 juni 2005 @ 17:34:
[...]

deze wormen richten zich echter vooral op non-root users. zie ook het log.

kansloos dus, heel misschien dat bij bakken met duizenden users de betreffende username er idd bijzit, en dat ook nog eens het goede wachtwoord geprobeerd wordt. maar hoeveel van dat soort bakken hebben ssh zomaar voor iedereen openstaan? de gemiddelde sarah, tracy en serena hebben helemaal niks te zoeken bij ssh...
Het zijn dan ook wormen die bij een op de zoveel duizend servers iets leuks vinden. Voor de individuele gebruiker is er niets te vrezen, puur door de wet op de grote getallen is zoiets eventueel 'winstgevend' voor degene die achter die worm zit. Net als een phishing scam, of een nigeriaanse brief ofzo. Een op de zoveel die erin trapt, maar als je zelf je verstand erbij houdt (geen user:root, pwd: root voor extern :P ) heb je niks te vrezen.

zaterdag 4 juni 2005 19:20

Acties:
  • H!GHGuY
  • Registratie: December 2002
  • Niet online

H!GHGuY

Try and take over the world...

Osiris schreef op zaterdag 04 juni 2005 @ 17:18:
[...]

VPN? Firewall? Alsnog geen reden om je SQLd open en bloot te hebben...
euhr, de DB draait op een win2K3 die achter mijn NetBSD router zit...
maar aangezien m'n broer die poort open wou, en em niet op een niet-standaard poort wou steken, zoals ik em voorstelde, is er poging tot brute force openbreken geweest.

en sindsdien is m'n broer toch slim genoeg om een andere poort te gebruiken...

ASSUME makes an ASS out of U and ME

zaterdag 4 juni 2005 19:25

Acties:

Verwijderd

HIGHGuY schreef op zaterdag 04 juni 2005 @ 19:20:

euhr, de DB draait op een win2K3 die achter mijn NetBSD router zit...
maar aangezien m'n broer die poort open wou, en em niet op een niet-standaard poort wou steken, zoals ik em voorstelde, is er poging tot brute force openbreken geweest.

en sindsdien is m'n broer toch slim genoeg om een andere poort te gebruiken...
Ik heb best wel maling aan een "poging tot", aangezien mijn wachtwoorden toch niet fatsoenlijk te raden zijn. De service op een andere poort draaien maakt het hooguit een kleine factor moeilijker om toegang te krijgen. Je kunt bij wijze van spreken ook een wachtwoord gebruiken dat 2 tekens langer is om hetzelfde effect te krijgen.

Reken zelf ook even uit hoelang het met die ratio duurt om een wachtwoord van 8 tekens te raden.

zaterdag 4 juni 2005 19:38

Acties:
  • ralfbosz
  • Registratie: December 2000
  • Laatst online: 13:39

ralfbosz

xm create bosz -c

Ik zag ook steeds vaker deze meldingen langskomen en heb de volgende stappen gedaan:

PermitRootLogin no

Dit is natuurlijk een van de eerste dingen die je doet voor je een machine op internet aansluit.

PasswordAuthentication no

Hiermee ben je wel minder flexibel, maar voorkom je wel dat mensen ooit kunnen inloggen in je systeem. Enige mogelijkheid om zelf in te loggen is met een ssh-generated-key (ssh-keygen).

Dit is genoeg om je systeem een stuk veiliger te maken, alleen die logging ben je daar niet mee kwijt. Dat heb ik opgelost in IP-Tables:

iptables -N port22
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j port22
iptables -A port22 -p tcp -m limit --limit 2/min --limit-burst 1 -j DROP

Hopelijk goed overgetikt uit mijn iptables-config. Maar dit houdt in principe in dat je nog maar 2x per minuut (of was het nou 1x per 2 minuten :) een nieuwe connectie kunt opzetten met je SSH-poort. Dit houdt die wormen lekker bezig, zeker omdat ze geen reset krijgen (dus ze moeten wachten op een time-out).

Om thuis toch vaker dan dit te kunnen connecten jezelf natuurlijke even als uitzondering erin plakken ("iptables -A port22 -s 192.168.1.0/255.255.255.0 -j ACCEPT" voor regel 2).

Ik kom nog wel eens een worm tegen in mijn logging, maar als ik er meer dan drie op een dag heb is het veel.

[ Voor 4% gewijzigd door ralfbosz op 04-06-2005 19:39 ]

rm -r *

zaterdag 4 juni 2005 20:39

Acties:
  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf

HIGHGuY schreef op zaterdag 04 juni 2005 @ 17:14:
ik heb et nodig omdat ik vanop m'n studentenkamer ook aan de DB moet (en er waren nog enkele mensen)
van de mensen die toegang moeten hebben weet je vast wel een IP(range) kortom blok het op de firewall, dat icm goede passwords zit je redelijk safe, op andere poorten gaan draaien is nogal onzinnig imo, alleen maar lastig, ze hebben niet voor niks deze poorten bedacht.

zaterdag 4 juni 2005 21:03

Acties:
  • H!GHGuY
  • Registratie: December 2002
  • Niet online

H!GHGuY

Try and take over the world...

Verwijderd schreef op zaterdag 04 juni 2005 @ 19:25:
[...]

Ik heb best wel maling aan een "poging tot", aangezien mijn wachtwoorden toch niet fatsoenlijk te raden zijn. De service op een andere poort draaien maakt het hooguit een kleine factor moeilijker om toegang te krijgen. Je kunt bij wijze van spreken ook een wachtwoord gebruiken dat 2 tekens langer is om hetzelfde effect te krijgen.

Reken zelf ook even uit hoelang het met die ratio duurt om een wachtwoord van 8 tekens te raden.
het paswoord zouden ze ook wel niet snel raden (10 karaktertjes, waarvan ze bij het einde van de aanval nog maar aan paswoorden van 4 karakters bezig waren) maar het gng em vooral om het verkeer wat dit met zich meebracht... onze 192kbit upload zat lekker vol ;)

en daarbij: worms/trojans die MS-SQL proberen open te breken, gaan heus niet elke PC gaan port-sniffen of er toevalllig niet ergens op een niet-standaard poort een MS-SQL draait

ASSUME makes an ASS out of U and ME

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq