poging tot "inbraak" via SSH - Linux en overige clients

woensdag 15 juni 2005 16:39

Acties:

Verwijderd

Topicstarter

wat kan ik aan het volgende doen:

Jun 10 09:45:31 <servernaam> sshd[20257]: Address 81.216.42.2 maps to ns1.netit.se, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
Jun 10 09:45:32 <servernaam> sshd[20262]: Invalid user eugen from 81.216.42.2
Jun 10 09:45:32 <servernaam> sshd[20262]: Address 81.216.42.2 maps to ns1.netit.se, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
Jun 10 09:45:33 <servernaam> sshd[20267]: Invalid user eugen from 81.216.42.2
Jun 10 09:45:33 <servernaam> sshd[20267]: Address 81.216.42.2 maps to ns1.netit.se, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
Jun 10 09:45:33 <servernaam> sshd[20272]: Invalid user eugen from 81.216.42.2
Jun 10 09:45:33 <servernaam> sshd[20272]: Address 81.216.42.2 maps to ns1.netit.se, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
Jun 10 09:45:34 <servernaam> sshd[20277]: Invalid user eugen from 81.216.42.2
Jun 10 09:45:34 <servernaam> sshd[20277]: Address 81.216.42.2 maps to ns1.netit.se, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
etc. etc.

Wat kan ik hier aan doen? Kan ik dit ergens melden soms?
En hoe block ik een IP? Het gaat om Gentoo Linux 2005 (kernel: 2.6.11 r11)

[ Voor 65% gewijzigd door Verwijderd op 15-06-2005 16:40 ]

woensdag 15 juni 2005 16:45

Acties:

Andre-85

Sid

Je kan een mail sturen naar abuse@ISP_van_atacker maar hier wordt meestal niet echt op gereageerd. Maar je moet je er niet al te druk om maken. Als je een sterk wachtwoord gebruikt en root niet toestaat in te loggen via SSH ben je behoorlijk veilig.
Je kan je SSH deamon eventueel nog op een andere poort gooien dan 22 zodat de meeste bots je niet zullen vinden.

Lorem
Whenever we feel the need to comment something, we write a method instead. - Martin Fowler
People who think they know everything really annoy those of us who know we don't - Bjarne Stroustrup

woensdag 15 juni 2005 16:47

Acties:

moto-moi

Ja, ik haat jou ook :w

Verwijderd schreef op woensdag 15 juni 2005 @ 16:39:
wat kan ik aan het volgende doen:

Negeren ?

Wat kan ik hier aan doen? Kan ik dit ergens melden soms?

Jups, de abuse die bij dat ip hoort

I.t.t. tot wat Andre-85 zegt, zijn er genoeg providers die reageren op dit soort dingen, zeker als dit zo enige tijd blijft doorgaan.

En hoe block ik een IP? Het gaat om Gentoo Linux 2005 (kernel: 2.6.11 r11)

In je firewall

Dit is een link die je daarbij kan helpen denk ik

God, root, what is difference? | Talga Vassternich | IBM zuigt

woensdag 15 juni 2005 19:07

Acties:

BoAC

Memento mori

_{Dit gebeurt hier al maanden zonder resultaat.

Zie Toename ssh login attempts}

woensdag 15 juni 2005 20:39

Acties:

Verwijderd

Andre-85 schreef op woensdag 15 juni 2005 @ 16:45:
Je kan een mail sturen naar abuse@ISP_van_atacker maar hier wordt meestal niet echt op gereageerd.

Ik heb daar toch wel een andere ervaring mee. Als je een log meestuurt waaruit blijkt dat het gedrag van die persoon een echte aanval is; krijgt die waarschijnlijk een waarschuwing of ban. (Zelf al bij 4 van de 5 gevallen een mail teruggehad van de abuse-dienst dat de persoon een sanctie heeft gekregen

)

woensdag 15 juni 2005 21:42

Acties:

arikkert

bedenk wel dat die "POSSIBLE BREAKIN ATTEMPT!" slaat op de reverseDNSmapping van de host die verbinding probeert te maken, die niet overeenkomt met de forwardmapping. Das hoeft helemaal geen attack te zijn, maar met name tcpwrappers vindt het al gauw verdacht.
en als het steeds om dezelfde user die geen speciale rechten heeft gaat, dan kan het ook nog een vergissing zijn. Iemand die op de verkeerde server probeert in te loggen.

[ Voor 6% gewijzigd door arikkert op 15-06-2005 21:42 ]

woensdag 15 juni 2005 21:56

Acties:

PowerSp00n

There is no spoon

Pfff, denk eens even kijken welke sshd login attempts er allemaal bij mij in m'n log te vinden zijn...

Jun 15 21:27:16 foxtrot sshd[12737]: Failed password for root from ::ffff:72.10.225.11 port 48955 ssh2
Jun 15 21:27:17 foxtrot sshd[12739]: Failed password for root from ::ffff:72.10.225.11 port 49052 ssh2
Jun 15 21:27:18 foxtrot sshd[12741]: Failed password for root from ::ffff:72.10.225.11 port 49161 ssh2
Jun 15 21:27:19 foxtrot sshd[12743]: Failed password for root from ::ffff:72.10.225.11 port 49262 ssh2
Jun 15 21:27:20 foxtrot sshd[12745]: Failed password for root from ::ffff:72.10.225.11 port 49354 ssh2

Dit gaat al een tijdje door, elke seconde 1. Wel toeval dat dat precies nu het geval is

, ik zal eens mailen kijken wat de reactie is.

woensdag 15 juni 2005 22:33

Acties:

Andre-85

Sid

Verwijderd schreef op woensdag 15 juni 2005 @ 20:39:
[...]

Ik heb daar toch wel een andere ervaring mee. Als je een log meestuurt waaruit blijkt dat het gedrag van die persoon een echte aanval is; krijgt die waarschijnlijk een waarschuwing of ban. (Zelf al bij 4 van de 5 gevallen een mail teruggehad van de abuse-dienst dat de persoon een sanctie heeft gekregen )

Dat is goed om te horen. Vooral erg goed dat er ook een bericht terug komt dan heb je niet het idee dat het voor niks is geweest.
Dan is het misschien lonend om weer eens wat mails te vesturen

Lorem
Whenever we feel the need to comment something, we write a method instead. - Martin Fowler
People who think they know everything really annoy those of us who know we don't - Bjarne Stroustrup

woensdag 15 juni 2005 22:54

Acties:

Zwerver

Omdat het al langere tijd aan de gang is en er een topic over is (Toename ssh login attempts) zie ik het nut van dit topic niet zo

Vandaar dit slotje

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer