Toon posts:

[Fedora C4] Word dagelijks geprobeerd te 'hacken'

Pagina: 1
Acties:

dinsdag 12 juni 2007 12:24

Acties:

Verwijderd

Topicstarter
Hya,

Heb een oud bakje ergens in een hoekje staan met Fedora Core 4 er op. Is een Ventrilo servertje, verder alleen nog webservertje voor een javascript spelletje, allemaal niet spannend.

Daarom wijzen in mn gateway port 3784 en 80 naar die bak, verder niks

Nou hou ik al een weekje in de gaten mijn /var/mail/root file en daar zie ik dat die bak duizenden login attempts van buitenuit krijgt te verduren (generated gok ik), voorbeeldje:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

 Failed password for mysql from ::ffff:59.162.161.69 port 34895 ssh2
 Failed password for mysql from ::ffff:59.162.161.69 port 35210 ssh2
 Failed password for mysql from ::ffff:59.162.161.69 port 35513 ssh2
 Failed password for mysql from ::ffff:59.162.161.69 port 35912 ssh2
 Failed password for mysql from ::ffff:59.162.161.69 port 36188 ssh2
 Failed password for mysql from ::ffff:59.162.161.69 port 36648 ssh2
 Failed password for root from ::ffff:59.162.161.69 port 36969 ssh2
 Failed password for root from ::ffff:59.162.161.69 port 37390 ssh2
 Failed password for root from ::ffff:59.162.161.69 port 39580 ssh2
 Failed password for root from ::ffff:59.162.161.69 port 40639 ssh2
 Failed password for root from ::ffff:59.162.161.69 port 40867 ssh2
 Failed password for root from ::ffff:59.162.161.69 port 41311 ssh2
 Failed password for nobody from ::ffff:59.162.161.69 port 45164 ssh2
 Failed password for root from ::ffff:59.162.161.69 port 45563 ssh2
 Failed password for news from ::ffff:59.162.161.69 port 50153 ssh2
 Failed password for games from ::ffff:59.162.161.69 port 50885 ssh2
 Failed password for mail from ::ffff:59.162.161.69 port 51631 ssh2
 Failed password for adm from ::ffff:59.162.161.69 port 52008 ssh2
 Failed password for rpm from ::ffff:59.162.161.69 port 56523 ssh2
 Failed password for operator from ::ffff:59.162.161.69 port 56801 ssh2
 Failed password for sshd from ::ffff:59.162.161.69 port 57535 ssh2
 Failed password for bin from ::ffff:59.162.161.69 port 58909 ssh2

En vele maten etc, maar het vreemde is het volgende. Weekje geleden stond de port (22) in de gateway wel naar deze bak. Heb het toen verandert naar 2200 in de hoop dat het op zal houden, maar nee.
Heb toen 2200 ook maar gesloten zodat die bak niet meer van buiten te benaderen is(behalve dan op bovengenoemde services)


Now, I want this to stop!, dus mijn vraag, wat kan ik hier aan doen :?


Edit: het ip blocken heeft niet zoveel zin, komt elke dag van een ander.
Edit2: misschien ventrilo bug oid? (kan daar niet iets over vinden verder)

dinsdag 12 juni 2007 13:13

Acties:

Verwijderd

Volgens mij kun je er weinig aan doen. Ze proberen met ssh in te loggen. Waarschijnlijk draait er ergens een programma dat een hele ip range afscant en probeert in te loggen bij de gevonden servers. Maar indien je inderdaad die poorten gesloten hebt (doe eens een portscan van buitenaf bijvoorbeeld) dan is er niks aan de hand.

dinsdag 12 juni 2007 13:16

Acties:
  • Peeetr
  • Registratie: April 2007
  • Laatst online: 09-05-2022

Peeetr

Vraag bij je ISP een IP-change aan? Ik weet niet welke je hebt, maar meestal kan dit gewoon

dinsdag 12 juni 2007 13:17

Acties:

Verwijderd

Wat je wil hebben is SSH guard.

dinsdag 12 juni 2007 13:39

Acties:

Verwijderd

Topicstarter
Maar vind niemand het vreemd dat er geen toegang tot ssh inloggen is op die bak. Er zijn geen porten geforward behalve 80 en 3784. Dan kan je toch niet proberen in te loggen?

dinsdag 12 juni 2007 13:51

Acties:

Verwijderd

Doe eens een poortscan van buiten je netwerk naar die machine toe. dan weet je of er misschien een fout in je firewall instellingen zit.

dinsdag 12 juni 2007 13:53

Acties:

Verwijderd

Gebeurt wel vaker zo ssh script attacks. Enige dat echt werkt is de poort van je ssh veranderen naar iets onlogisch :D

dinsdag 12 juni 2007 13:54

Acties:

Verwijderd

Verwijderd schreef op dinsdag 12 juni 2007 @ 13:39:
Maar vind niemand het vreemd dat er geen toegang tot ssh inloggen is op die bak.
Blijkbaar is die toegang er wel, anders verschenen de meldingen niet in je log.

dinsdag 12 juni 2007 14:06

Acties:
  • Geuze
  • Registratie: Juli 2005
  • Laatst online: 10-04-2024

Geuze

Zet SSH op zodat je gebruik maakt van keys voor authentication en blokkeer keyboard login's. Veel veiliger en nog makkelijker ook zolang je private key niet bekend is.

Meer info hierover kan je in de putty handleiding vinden

En zoals hierboven vermeld kan je een tool gebruiken dat aan de hand van de logs meerdere failed logins van een bepaald ip gaat blokkeren.

It is Good to be Bad || Battle.net tag

dinsdag 12 juni 2007 14:57

Acties:
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 25-01 14:44

frickY

Je gateway moet de requests wel forwarden naar die bak, anders kunnen ze nooit in die log komen.
Die bak is niet per ongeluk als DMZ-host ingesteld?

dinsdag 12 juni 2007 15:06

Acties:

Verwijderd

Wat je ook kan doen is een mooie iptables rule maken...

Iemand mag bijv. maar 3 keer iets proberen, daarna wordt z'n IP gebanned voor een uur o.i.d.

Googlen op "iptables ssh" levert al een hoop op :)

woensdag 13 juni 2007 09:52

Acties:

Verwijderd

code:
1
2
3
4
5

no rdr inet proto tcp from <trusted_ips> to $ext_nic port 22
rdr pass inet proto tcp from any to $ext_nic port 22 \
        -> 127.0.0.1 port 2626
pass in quick on $ext_nic inet proto tcp from <trusted_ips> to $ext_nic \
        port 22 modulate state


Op 127.0.0.1:2626 draait tarpit software (al kun je net zo goed cat /dev/urandom in /etc/inetd.conf hangen; telnet fw[ab].r3blog.nl 22 om te zien hoe dit werkt) ;) Voor de rest, welkom op het internet, ssh brute force scanners zijn er ten overvloede en worden door de kiddo's zeer actief gebruikt. Zie ook dit topic voor meer informatie over het dichttimmeren van ssh.

[ Voor 4% gewijzigd door Verwijderd op 13-06-2007 09:57 ]

woensdag 13 juni 2007 19:06

Acties:
  • deadinspace
  • Registratie: Juni 2001
  • Laatst online: 01-02 13:45

deadinspace

The what goes where now?

Verwijderd schreef op dinsdag 12 juni 2007 @ 13:39:
Maar vind niemand het vreemd dat er geen toegang tot ssh inloggen is op die bak. Er zijn geen porten geforward behalve 80 en 3784. Dan kan je toch niet proberen in te loggen?
Daar wordt inderdaad massaal overheen gelezen :P

Als je van buitenaf met ssh of putty of wat dan ook probeert te connecten op het IP-adres van je ISP, krijg je dan ook de ssh server op je Fedora machine aan de lijn? Zo ja, dan wordt blijkbaar poort 22 toch nog geforward.

Verder zie ik geen timestamps in het stukje log dat je pastte. Zijn het toevallig geen oude login attempts die je ziet, van toen je poort 22 nog wel geforward had?

woensdag 13 juni 2007 20:55

Acties:

Verwijderd

als je inderdaad sommige diensten op de standaard poort
moet draaien is fail2ban misschien een handige tool om deze script kiddies buiten de deur te houden.

Fail2ban houd je logfiles in de gaten en blokkeert automatisch de overtredende IP adressen als het te gortig wordt. Je moet wel even je tijd nemen om de regels in te stellen zoals je ze hebben wilt.
Normaal werkt deze tool zowel voor ssh als http, mysql,...

Verder is het inderdaad raar dat je nog login attempts krijgt op een ssh server waarvan de poort niet open zou mogen staan.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq