Toename ssh login attempts - Privacy en beveiliging

vrijdag 23 juli 2004 09:56

Acties:

Verwijderd

Topicstarter

Zie op zo'n beetje alle machines die ik beheer sind de 22ste een geweldige stijging in het aantal ssh inlog attempts. Ze komen vooral uit Asie en Duitsland. Usernames die worden geprobeerd, zijn voornamelijk test, guest en admin.

Is er een nieuwe ssh wrom, of een nieuwe exploit/vuln uit?

vrijdag 23 juli 2004 10:08

Acties:

BoAC

Memento mori

Hier ook! Een stukje uit mijn log:

code:

Jul 22 10:08:32 server sshd[22303]: error: Could not get shadow information for NOUSER
Jul 22 10:08:32 server sshd[22303]: Failed password for illegal user test from 80.242.100.55 port 42113 ssh2
Jul 22 10:08:33 server sshd[22305]: User guest not allowed because shell /dev/null is not executable
Jul 22 10:08:33 server sshd[22305]: error: Could not get shadow information for NOUSER
Jul 22 10:08:33 server sshd[22305]: Failed password for illegal user guest from 80.242.100.55 port 42136 ssh2
Jul 22 10:08:33 server sshd[22307]: Illegal user admin from 80.242.100.55
Jul 22 10:08:33 server sshd[22307]: error: Could not get shadow information for NOUSER
Jul 22 10:08:33 server sshd[22307]: Failed password for illegal user admin from 80.242.100.55 port 42155 ssh2
Jul 22 10:08:33 server sshd[22309]: Illegal user admin from 80.242.100.55
Jul 22 10:08:33 server sshd[22309]: error: Could not get shadow information for NOUSER
Jul 22 10:08:33 server sshd[22309]: Failed password for illegal user admin from 80.242.100.55 port 42176 ssh2
Jul 22 10:08:34 server sshd[22311]: Illegal user user from 80.242.100.55
Jul 22 10:08:34 server sshd[22311]: error: Could not get shadow information for NOUSER
Jul 22 10:08:34 server sshd[22311]: Failed password for illegal user user from 80.242.100.55 port 42197 ssh2
Jul 22 10:08:34 server sshd[22313]: Failed password for root from 80.242.100.55 port 42218 ssh2
Jul 22 10:08:34 server sshd[22315]: Failed password for root from 80.242.100.55 port 42245 ssh2
Jul 22 10:08:35 server sshd[22317]: Failed password for root from 80.242.100.55 port 42273 ssh2
Jul 22 10:08:35 server sshd[22319]: Illegal user test from 80.242.100.55
Jul 22 10:08:35 server sshd[22319]: error: Could not get shadow information for NOUSER
Jul 22 10:08:35 server sshd[22319]: Failed password for illegal user test from 80.242.100.55 port 42293 ssh2

Is trouwens sinds gisteren dus..

vrijdag 23 juli 2004 10:13

Acties:

cutter

Wannabe i7 fanboy

LOL ik wilde net hetzelfde topic openen.

Vandaag:

code:

**Unmatched Entries**
subsystem request for sftp
input_userauth_request: illegal user test
Failed password for illegal user test from 211.119.136.170 port 54107 ssh2 Received disconnect from 211.119.136.170: 11: Bye Bye
input_userauth_request: illegal user guest
Failed password for illegal user guest from 211.119.136.170 port 54250 ssh2 Received disconnect from 211.119.136.170: 11: Bye Bye

Dinsdag:

code:

**Unmatched Entries**
input_userauth_request: illegal user test
Failed password for illegal user test from 62.117.99.83 port 2469 ssh2 Received disconnect from 62.117.99.83: 11: Bye Bye
input_userauth_request: illegal user guest
Failed password for illegal user guest from 62.117.99.83 port 2519 ssh2 Received disconnect from 62.117.99.83: 11: Bye Bye

vrijdag 23 juli 2004 10:14

Acties:

Verwijderd

Topicstarter

die 211.119.136.170 komt ook in al de logs van mijn machines voor.
En ook in die van een paar collega admins.

vrijdag 23 juli 2004 10:19

Acties:

cutter

Wannabe i7 fanboy

mmm zie er vandaag weer een paar:

code:

Jul 23 09:42:27 xxx sshd[13074]: input_userauth_request: illegal user test
Jul 23 09:42:29 xxx sshd[13074]: Failed password for illegal user test from 68.10.53.24 port 46435 ssh2
Jul 23 09:42:30 xxx sshd[13074]: Received disconnect from 68.10.53.24: 11: Bye Bye
Jul 23 09:42:30 xxx sshd[13075]: input_userauth_request: illegal user guest
Jul 23 09:42:33 xxx sshd[13075]: Failed password for illegal user guest from 68.10.53.24 port 46444 ssh2
Jul 23 09:42:33 xxx sshd[13075]: Received disconnect from 68.10.53.24: 11: Bye Bye

vrijdag 23 juli 2004 10:19

Acties:

Verwijderd

ff een vraag, waar trek je die log vandaan

kan ik kijken of ik probleem ook heb

vrijdag 23 juli 2004 10:21

Acties:

BoAC

Memento mori

code:

1	cat /var/log/messages \| grep ssh ;)

_{draai gentoo linux dan he}

vrijdag 23 juli 2004 10:22

Acties:

Verwijderd

had al wel verwacht dat het met grep zou zijn (uit de syslog))

maar is dus met messages,

ontopic:
heb er <nog> geen last van
heb hier dus wel last van

code:

Jul 19 00:41:40 LPJ sshd[1449]: Failed password for root from 131.234.66.146 port 60694 ssh2
Jul 19 00:41:40 LPJ sshd[1450]: Failed password for root from 131.234.66.146 port 60694 ssh2
Jul 22 11:29:55 LPJ sshd[15947]: input_userauth_request: illegal user test
Jul 22 11:29:55 LPJ sshd[15946]: Could not reverse map address 80.242.100.55.
Jul 22 11:29:55 LPJ sshd[15949]: input_userauth_request: illegal user guest
Jul 22 11:29:55 LPJ sshd[15948]: Could not reverse map address 80.242.100.55.
Jul 22 11:29:55 LPJ sshd[15951]: input_userauth_request: illegal user admin
Jul 22 11:29:55 LPJ sshd[15950]: Could not reverse map address 80.242.100.55.
Jul 22 11:29:56 LPJ sshd[15953]: input_userauth_request: illegal user admin
Jul 22 11:29:56 LPJ sshd[15952]: Could not reverse map address 80.242.100.55.
Jul 22 11:29:56 LPJ sshd[15955]: input_userauth_request: illegal user user
Jul 22 11:29:56 LPJ sshd[15954]: Could not reverse map address 80.242.100.55.
Jul 22 11:29:56 LPJ sshd[15956]: Could not reverse map address 80.242.100.55.
Jul 22 11:29:56 LPJ PAM_unix[15956]: authentication failure; (uid=0) -> root for ssh service
Jul 22 11:29:58 LPJ sshd[15956]: Failed password for root from 80.242.100.55 port 41208 ssh2
Jul 22 11:29:58 LPJ sshd[15957]: Failed password for root from 80.242.100.55 port 41208 ssh2
Jul 22 11:29:58 LPJ sshd[15958]: Could not reverse map address 80.242.100.55.
Jul 22 11:29:58 LPJ PAM_unix[15958]: authentication failure; (uid=0) -> root for ssh service
Jul 22 11:30:01 LPJ sshd[15958]: Failed password for root from 80.242.100.55 port 41310 ssh2
Jul 22 11:30:01 LPJ sshd[15959]: Failed password for root from 80.242.100.55 port 41310 ssh2
Jul 22 11:30:01 LPJ sshd[15960]: Could not reverse map address 80.242.100.55.
Jul 22 11:30:01 LPJ PAM_unix[15960]: authentication failure; (uid=0) -> root for ssh service
Jul 22 11:30:03 LPJ sshd[15960]: Failed password for root from 80.242.100.55 port 41448 ssh2
Jul 22 11:30:03 LPJ sshd[15961]: Failed password for root from 80.242.100.55 port 41448 ssh2
Jul 22 11:30:03 LPJ sshd[15969]: input_userauth_request: illegal user test
Jul 22 11:30:03 LPJ sshd[15968]: Could not reverse map address 80.242.100.55.
LPJ:/var/log#

[ Voor 90% gewijzigd door Verwijderd op 23-07-2004 10:40 ]

vrijdag 23 juli 2004 10:35

Acties:

_fm

debian logt dit in auth.log. Hier weinig last, wel een aantal dagen terug een aantal vreemde pogingen vanaf 211.48.20.163

vrijdag 23 juli 2004 11:19

Acties:

BoAC

Memento mori

Verwijderd schreef op 23 juli 2004 @ 10:22:
had al wel verwacht dat het met grep zou zijn (uit de syslog))

maar is dus met messages,

ontopic:
heb er <nog> geen last van
heb hier dus wel last van
code:
1
2
3
4
...
80.242.100.55.
...
LPJ:/var/log#

Alweer die? Bij mij dus ook

NB. Ik zit bij wanadoo..

[ Voor 5% gewijzigd door BoAC op 23-07-2004 11:19 ]

vrijdag 23 juli 2004 11:36

Acties:

cutter

Wannabe i7 fanboy

http://www.dnsstuff.com/tools/whois.ch?ip=80.242.100.55 ff bellen met www.cobweb.nl ze hebben een server in de russische federatie.

vrijdag 23 juli 2004 12:29

Acties:

Verwijderd

BoAC schreef op 23 juli 2004 @ 11:19:
[...]

Alweer die? Bij mij dus ook
NB. Ik zit bij wanadoo..

ik bij chello......

ik vermoed dat meneer ranges heeft lopen scannen...

vrijdag 23 juli 2004 12:35

Acties:

Zwerver

mwah, onze coloserver heeft die gast er ook in staan

Gewoon een -j DROP doen en je ziet hem nooit meer terug

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

zondag 25 juli 2004 12:25

Acties:

Verwijderd

Zwerver schreef op 23 juli 2004 @ 12:35:
mwah, onze coloserver heeft die gast er ook in staan Gewoon een -j DROP doen en je ziet hem nooit meer terug

Bij mij zijn de probes afkomstig van verschillende IP-adressen, dus een simpele DROP in de firewall is geen echte oplossing. Sterker nog, het is niet eens nodig wanneer de server als relatief veilig kan worden beschouwd en daarbij sterke wachtwoorden zijn gebruikt.

De vraag, of het een enkel persoon of een nieuwe worm of exploit is, waar ook ik benieuwd naar ben, blijft bestaan.

Iemand inmiddels meer info?

zondag 25 juli 2004 13:13

Acties:

lordgandalf

is het niet mogelijk dat het een aangepaste versie is van bagle waar sinds kort de source op inet rond zwerfd zouw mij niet gek lijken dat het zoiets is.
ik heb in mijn logs van mun debian server geen vreemde pogingen staan

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

zondag 25 juli 2004 13:36

Acties:

Zwerver

Van http://isc.sans.org:

Brute Force PW Scans Submissions

The Handlers have received a number of submissions in regards to Tom's request, yesterday, for logs of possible brute-force authentication attempts against SSH. Thanks to all those who have responded. Please continue (or start) to check your logs for failed login attempts, and submit them to the Handlers group.

http://www.incidents.org/diary.php?date=2004-07-23

[ Voor 1% gewijzigd door Zwerver op 25-07-2004 13:44 . Reden: typo ]

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

zondag 25 juli 2004 13:43

Acties:

Verwijderd

yup, hier ook al:
Jul 22 10:57:25 pharlap sshd[6224]: Illegal user guest from 211.119.136.170
Jul 23 11:09:19 pharlap sshd[5728]: Illegal user guest from 68.10.53.24
Jul 21 06:51:32 pharlap sshd[3145]: Illegal user guest from 131.234.157.10
Jul 21 06:51:33 pharlap sshd[3147]: Illegal user admin from 131.234.157.10
Jul 21 06:51:33 pharlap sshd[3149]: Illegal user admin from 131.234.157.10
Jul 21 06:51:34 pharlap sshd[3151]: Illegal user user from 131.234.157.10
Jul 23 21:43:55 pharlap sshd[20020]: Address 61.193.179.162 maps to sor.is-happy.jp, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!

enkele voorbeelden....

[ Voor 76% gewijzigd door Verwijderd op 25-07-2004 13:46 ]

maandag 26 juli 2004 09:09

Acties:

TheoQ

En ook hier 1 en ander in de logs gevonden (elke dag wel een paar... ).

Daar ik een soort 1e lijns beheerder ben, ben ik nieuwsgierig of de 'pro' beheerders hier wakker van liggen, of zo elke poging ook werkelijk melden aan het bijbehorende 'abuse' adres en of jullie verder nog acties ondernemen?

maandag 26 juli 2004 09:19

Acties:

cutter

Wannabe i7 fanboy

Er zullen vast beheerders zijn die ftp accounts maken en vergeten die users hun shell access af te nemen. Een user guest met als pass guest of user admin met pass admin of geen pass zijn misschien twee van de meest voorkomende combo's. En als je shell access hebt kun je vast, ook als non-root user best leuke dingetjes doen.

dinsdag 27 juli 2004 12:50

Acties:

Verwijderd

TheoQ schreef op 26 juli 2004 @ 09:09:
Daar ik een soort 1e lijns beheerder ben, ben ik nieuwsgierig of de 'pro' beheerders hier wakker van liggen, of zo elke poging ook werkelijk melden aan het bijbehorende 'abuse' adres en of jullie verder nog acties ondernemen?

Nee zeker niet, zulke incidenten komen vaker voor, een goed beveiligde server kan hier makkelijk tegen.

Ik maak er uitsluitend werk van als het aanhoudend is. Ik heb een aantal hack-pogingen gehad die puur tegen mij gericht waren en lang aanhielden, dus ook met duidelijke voorbereiding en voorkennis. Dan nog lig ik er niet wakker van, maar vind ik het wel de moeite waard uit te zoeken wie en waarom. Desnoods overleg met of melding bij de betreffende provider.

Interessant aan deze kwestie, het zou een nieuwe worm of 0day eploit kunnen betreffen, wat riskant kan zijn.

Meer:
"http://www.dslreports.com/forum/remark,10854834~mode=flat~days=9999"
http://www.checksum.org/mla/11/message/4043.htm

Edit:
Ik beheer overigens geen groot netwerk of iets dergelijks, dit is gewoon mijn visie/aanpak en niet meer dan dat.

[ Voor 16% gewijzigd door Verwijderd op 27-07-2004 12:57 ]

woensdag 28 juli 2004 11:09

Acties:

Wilke

Ik zie er ook enkele per dag voorbij komen op verschillende IP's (met afzender-IP's die weer anders zijn dan die al in dit topic stonden), dus er zijn blijkbaar wat mensen vrij heftig aan het poortscannen.

Meer informatie dan dat ze proberen te scannen is niet bekend dus?

woensdag 28 juli 2004 11:45

Acties:

cutter

Wannabe i7 fanboy

http://www.dslreports.com...e=flat~days=9999~start=60

Ben te weinig NOS

om echt te weten wat het is, maar wat ik er uit haal is het volgende en please correct me if i'm wrong.

Iets probeert met bruteforce in je systeem te komen. Op test/test of guest/guest neem ik aan. Volgens mij kun je geen users toevoegen in *nix zonder een wachtwoord. Als ze binnen zijn maken ze gebruik van een vulnarability in de kernel om zonder root rechten een rootkit te installeren. Hierna heb je een zombie waarmee je whatever kunt doen: speuren naar nog meer machines of spam versturen, warez boardje beginnen: you name it.

woensdag 28 juli 2004 11:59

Acties:

FiscBiker

Ik zie in mijn auth.log eenzelfde ip terugkomen als bij djredmar:

code:

Jul 13 13:42:54 Server sshd[41291]: Illegal user test from 217.58.69.2
Jul 13 13:43:00 Server sshd[41293]: Illegal user guest from 217.58.69.2
Jul 22 08:32:06 Server sshd[67981]: Illegal user test from 80.242.100.55
Jul 22 08:32:06 Server sshd[67983]: Illegal user guest from 80.242.100.55
Jul 22 08:32:07 Server sshd[67985]: Illegal user admin from 80.242.100.55
Jul 22 08:32:07 Server sshd[67987]: Illegal user admin from 80.242.100.55
Jul 22 08:32:08 Server sshd[67989]: Illegal user user from 80.242.100.55
Jul 22 08:32:13 Server sshd[67997]: Illegal user test from 80.242.100.55
Jul 24 18:08:04 Server sshd[656]: Illegal user test from 219.234.216.150
Jul 24 18:08:08 Server sshd[658]: Illegal user guest from 219.234.216.150
Jul 26 14:27:09 Server sshd[6092]: Illegal user test from 81.8.206.35
Jul 26 14:27:09 Server sshd[6094]: Illegal user guest from 81.8.206.35
Jul 26 17:09:39 Server sshd[6324]: Illegal user test from 81.8.206.35
Jul 26 17:09:40 Server sshd[6326]: Illegal user guest from 81.8.206.35
Jul 27 00:56:37 Server sshd[6973]: Illegal user test from 195.227.113.99
Jul 27 00:56:38 Server sshd[6975]: Illegal user guest from 195.227.113.99

En bovendien:

code:

1
2
3

Jul 22 08:32:11 Server sshd[67991]: Failed password for root from 80.242.100.55 port 47129 ssh2
Jul 22 08:32:12 Server sshd[67993]: Failed password for root from 80.242.100.55 port 47409 ssh2
Jul 22 08:32:12 Server sshd[67995]: Failed password for root from 80.242.100.55 port 47448 ssh2

En dat terwijl een beetje server toch geen directe root-login toestaat (zeker niet als die server wereldwijd toegankelijk is)

[edit]
Oh bij BoAC ook zie ik nu

donderdag 29 juli 2004 14:53

Acties:

bolke

Klikt nu met een 50D.

het IP 80.242.100.55 hoord bij knip en die geven les.

Van de site gecopiepaste

knip

Maar ook

Een interactieve opfriscursus voor de heftruckchauffeur.

[ Voor 53% gewijzigd door F_J_K op 17-11-2006 10:40 . Reden: op verzoek van de site eigenaar verwijderd, heeft nu 2 jaar later toch geen toegevoegde waarde meer ]

http://www.hroling.nl

vrijdag 17 september 2004 10:00

Acties:

Verwijderd

Er word nog steeds geprobeerd. Het laatste ip is een deadrat 8.0 bak ergens in China.

code:

$ grep Failed /var/log/auth.log
Sep 12 22:23:07 azrael sshd[21088]: Failed password for root from 203.98.166.25 port 52910 ssh2
Sep 12 22:23:11 azrael sshd[21090]: Failed password for root from 203.98.166.25 port 53056 ssh2
Sep 12 22:23:16 azrael sshd[21092]: Failed password for root from 203.98.166.25 port 53182 ssh2
Sep 13 16:31:21 azrael sshd[22721]: Failed password for root from 161.200.92.1 port 53256 ssh2
Sep 13 16:31:27 azrael sshd[22723]: Failed password for root from 161.200.92.1 port 53383 ssh2
Sep 13 16:31:32 azrael sshd[22725]: Failed password for root from 161.200.92.1 port 53520 ssh2
Sep 15 02:34:52 azrael sshd[25550]: Failed password for root from 61.166.6.60 port 35123 ssh2
Sep 15 02:34:58 azrael sshd[25552]: Failed password for root from 61.166.6.60 port 35248 ssh2
Sep 15 02:35:04 azrael sshd[25554]: Failed password for root from 61.166.6.60 port 35385 ssh2
Sep 16 20:57:53 azrael sshd[29844]: Failed password for root from 61.175.233.84 port 4747 ssh2
Sep 16 20:57:58 azrael sshd[29846]: Failed password for root from 61.175.233.84 port 4860 ssh2
Sep 16 20:58:02 azrael sshd[29848]: Failed password for root from 61.175.233.84 port 4969 ssh2

Interesting ports on  (61.175.233.84):
(The 1536 ports scanned but not shown below are in state: closed)
Port       State       Service
21/tcp     open        ftp                     
22/tcp     open        ssh                     
23/tcp     open        telnet                  
25/tcp     open        smtp                    
109/tcp    open        pop-2                   
110/tcp    open        pop-3                   
135/tcp    filtered    loc-srv                 
137/tcp    filtered    netbios-ns              
138/tcp    filtered    netbios-dgm             
139/tcp    filtered    netbios-ssn             
143/tcp    open        imap2                   
445/tcp    filtered    microsoft-ds            
593/tcp    filtered    http-rpc-epmap          
993/tcp    open        imaps                   
1024/tcp   open        kdm                     
4444/tcp   filtered    krb524                  
6000/tcp   open        X11                     
6667/tcp   open        irc       

$ telnet  61.175.233.84
Trying 61.175.233.84...
Connected to 61.175.233.84.
Escape character is '^]'.

Red Hat Linux release 8.0 (Psyche)
Kernel 2.4.18-14 on an i686
login:

vrijdag 17 september 2004 10:14

Acties:

JasperE

Nergens last van op m'n VS-dedicated

vrijdag 17 september 2004 12:18

Acties:

WeaZuL

Try embedded, choose ARM!

Damn, ik d8 daar heb ik geen last van -> check ff mun messages en wat zie ik tot mijn verbazing;

code:

$ grep -ir ssh messages
Dec  6 13:42:06 lotta sshd[29071]: Invalid user test from ::ffff:220.73.215.151
Dec  6 13:42:06 lotta sshd[29071]: Failed password for invalid user test from ::ffff:220.73.215.151 port 32823 ssh2
Dec  6 13:42:09 lotta sshd[29073]: Invalid user guest from ::ffff:220.73.215.151
Dec  6 13:42:09 lotta sshd[29073]: Failed password for invalid user guest from ::ffff:220.73.215.151 port 33139 ssh2
Dec  6 13:42:12 lotta sshd[29075]: Invalid user admin from ::ffff:220.73.215.151
Dec  6 13:42:12 lotta sshd[29075]: Failed password for invalid user admin from ::ffff:220.73.215.151 port 33382 ssh2
Dec  6 13:42:15 lotta sshd[29077]: Invalid user admin from ::ffff:220.73.215.151
Dec  6 13:42:15 lotta sshd[29077]: Failed password for invalid user admin from ::ffff:220.73.215.151 port 33611 ssh2
Dec  6 13:42:19 lotta sshd[29079]: Invalid user user from ::ffff:220.73.215.151
Dec  6 13:42:19 lotta sshd[29079]: Failed password for invalid user user from ::ffff:220.73.215.151 port 33909 ssh2
Dec  6 13:42:22 lotta sshd[29081]: Failed password for root from ::ffff:220.73.215.151 port 34196 ssh2
Dec  6 13:42:26 lotta sshd[29083]: Failed password for root from ::ffff:220.73.215.151 port 34450 ssh2
Dec  6 13:42:29 lotta sshd[29085]: Failed password for root from ::ffff:220.73.215.151 port 34857 ssh2
Dec  6 13:42:32 lotta sshd[29087]: Invalid user test from ::ffff:220.73.215.151
Dec  6 13:42:33 lotta sshd[29087]: Failed password for invalid user test from ::ffff:220.73.215.151 port 35141 ssh2

WHOIS

Mwhoehaha date loopt lekker synchroon zie ik ineens

, even voor de duidelijkheid het is dus 2 dagen geleden gebeurd, vandaag stond date op 8 december 1999

[ Voor 13% gewijzigd door WeaZuL op 17-09-2004 12:32 ]

NSLU2, SheevaPlug, Pogoplug, Espressobin and Odroid H2 addict

zondag 26 september 2004 21:41

Acties:

Exirion

Gadgetfetisjist

Wat een trieste ventjes zijn het ook he. Hebben ze niks beters te doen ofzo

Ik heb nog geen 2 uur lang voor het eerst ssh naar buiten toe opengezet en ik krijg allemaal attempts in m'n auth.log te zien... Pffft.... maar goed, zolang ze maar niet binnenkomen.

Binnenkort eens wat meer lezen over port knocking

Bij mij kwam het trouwens ook van een IP op een duitse universiteit.

[ Voor 12% gewijzigd door Exirion op 26-09-2004 21:41 ]

"Logica brengt je van A naar B, verbeelding brengt je overal." - Albert Einstein

maandag 27 september 2004 09:13

Acties:

declan001

ik heb hier ook erg veel last van, allemaal failed logins, de ene dag wel 30 stuks de andere dag maar 10.
zit er toch sterk over na te denken om tcp wrappers aan te zetten, voel me toch niet echt veilig alhoewel er nog nooit een succesvolle login is geweest door iemand anders.

chance favors the prepared mind

woensdag 20 oktober 2004 22:27

Acties:

klokop

swiekie swoeng

(jaja, oud topic)

code:

-etc-
Oct 12 06:20:09 **server** sshd[11451]: Failed password for root from 69.182.27.122 port 59139 ssh2
Oct 12 06:20:10 **server** sshd[11453]: Failed password for root from 69.182.27.122 port 59204 ssh2
Oct 12 06:20:11 **server** sshd[11455]: Failed password for root from 69.182.27.122 port 59256 ssh2
Oct 12 06:20:12 **server** sshd[11457]: Failed password for root from 69.182.27.122 port 59475 ssh2
Oct 12 06:20:13 **server** sshd[11459]: Failed password for root from 69.182.27.122 port 59511 ssh2
Oct 12 06:20:14 **server** sshd[11461]: Failed password for root from 69.182.27.122 port 59743 ssh2
-etc-

-etc-
Oct 20 18:31:22 **server** sshd[32368]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=81.89.13.61  user=apache
Oct 20 18:31:23 **server** sshd[32362]: error: PAM: Authentication failure for apache from 81.89.13.61
Oct 20 18:31:28 **server** sshd[32362]: Failed password for apache from 81.89.13.61 port 1400 ssh2
Oct 20 18:31:31 **server** sshd[32369]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=81.89.13.61  user=apache
Oct 20 18:31:33 **server** sshd[32362]: error: PAM: Authentication failure for apache from 81.89.13.61
Oct 20 18:31:33 **server** sshd[32362]: Failed keyboard-interactive/pam for apache from 81.89.13.61 port 1400 ssh2
Oct 20 18:31:36 **server** sshd[32362]: Failed password for apache from 81.89.13.61 port 1400 ssh2
-etc-

woeps:

code:

1	Oct 12 06:31:54 server sshd[11710]: Accepted keyboard-interactive/pam for apache from 81.89.13.61 port 1265 ssh2

Met geinstalleerde 'backdoor daemon' zooi tengevolg. Nog niet zeker of ik nou ge-root ben of niet... hack poging ziet er wat amateuristisch uit, en zo'n expert ben ik nou ook weer niet... Men heeft geprobeerd .bash_histort van user apache te wissen, maar dat is mislukt...

"Passing silhouettes of strange illuminated mannequins"

donderdag 21 oktober 2004 09:33

Acties:

BoAC

Memento mori

Had je dan een wachtwoord voor user Apache

Hoe kan het anders?

donderdag 21 oktober 2004 09:37

Acties:

klokop

swiekie swoeng

BoAC schreef op 21 oktober 2004 @ 09:33:
Had je dan een wachtwoord voor user Apache
Hoe kan het anders?

Geen idee... Die user wordt automagisch aangemaakt bij de installatie van Apache, neem ik aan. IK heb het ww nooit veranderd... (NU wel uiteraard)

"Passing silhouettes of strange illuminated mannequins"

donderdag 21 oktober 2004 09:39

Acties:

BoAC

Memento mori

Zie mijn log:

code:

1 2	Oct 17 12:23:27 server sshd[1756]: error: Could not get shadow information for apache Oct 17 12:23:27 server sshd[1756]: Failed password for apache from 211.197.237.148 port 4638 ssh2

/edit
Maar dit is niet normaal:

code:

Oct 19 13:19:13 server sshd[8689]: Failed password for root from 140.117.164.13 port 46040 ssh2
Oct 19 13:19:16 server sshd[8691]: Failed password for root from 140.117.164.13 port 46164 ssh2
Oct 19 13:19:19 server sshd[8693]: Failed password for root from 140.117.164.13 port 46279 ssh2
Oct 19 13:19:33 server sshd[8703]: Failed password for root from 140.117.164.13 port 46925 ssh2
.....
Oct 19 15:27:26 server sshd[16007]: Failed password for root from 140.117.164.13 port 36736 ssh2
Oct 19 15:27:29 server sshd[16009]: Failed password for root from 140.117.164.13 port 36774 ssh2
Oct 19 15:27:31 server sshd[16011]: Failed password for root from 140.117.164.13 port 36815 ssh2
Oct 19 15:27:34 server sshd[16013]: Failed password for root from 140.117.164.13 port 36852 ssh2

Ik zou niet weten hoeveel regels dit zijn

_{ow ja: cat /var/log/messages | grep ssh | grep root | grep "Oct 19" | wc -l

Resultaat: 2818

Trieste mensen}

[ Voor 74% gewijzigd door BoAC op 21-10-2004 09:53 ]

donderdag 21 oktober 2004 09:47

Acties:

DeMoN

Pastafari

Bij mij gaat het nog steeds maar door en door

code:

Oct 21 08:32:07 debianws sshd[31647]: Failed password for illegal user admin from 61.233.18.190 port 46062 ssh2
Oct 21 08:32:16 debianws sshd[31649]: Illegal user admin from 61.233.18.190
Oct 21 08:32:16 debianws sshd[31649]: error: Could not get shadow information for NOUSER
Oct 21 08:32:16 debianws sshd[31649]: Failed password for illegal user admin from 61.233.18.190 port 46150 ssh2
Oct 21 08:32:24 debianws sshd[31651]: Illegal user user from 61.233.18.190
Oct 21 08:32:24 debianws sshd[31651]: error: Could not get shadow information for NOUSER
Oct 21 08:32:24 debianws sshd[31651]: Failed password for illegal user user from 61.233.18.190 port 46313 ssh2
Oct 21 08:32:30 debianws sshd[31653]: Failed password for root from 61.233.18.190 port 46464 ssh2
Oct 21 08:32:36 debianws sshd[31655]: Failed password for root from 61.233.18.190 port 46577 ssh2
Oct 21 08:32:44 debianws sshd[31657]: Failed password for root from 61.233.18.190 port 46752 ssh2
Oct 21 08:32:53 debianws sshd[31659]: Illegal user test from 61.233.18.190
Oct 21 08:32:53 debianws sshd[31659]: error: Could not get shadow information for NOUSER
Oct 21 08:32:53 debianws sshd[31659]: Failed password for illegal user test from 61.233.18.190 port 46842 ssh2
Oct 21 08:33:03 debianws sshd[31661]: Illegal user test from 61.233.18.190
Oct 21 08:33:03 debianws sshd[31661]: error: Could not get shadow information for NOUSER
Oct 21 08:33:03 debianws sshd[31661]: Failed password for illegal user test from 61.233.18.190 port 47008 ssh2
Oct 21 08:33:07 debianws sshd[31663]: Illegal user test from 61.233.18.190
Oct 21 08:33:07 debianws sshd[31663]: error: Could not get shadow information for NOUSER
Oct 21 08:33:07 debianws sshd[31663]: Failed password for illegal user test from 61.233.18.190 port 47173 ssh2
Oct 21 08:33:14 debianws sshd[31665]: Illegal user test from 61.233.18.190
Oct 21 08:33:14 debianws sshd[31665]: error: Could not get shadow information for NOUSER
Oct 21 08:33:14 debianws sshd[31665]: Failed password for illegal user test from 61.233.18.190 port 47283 ssh2
Oct 21 08:33:18 debianws sshd[31667]: Failed password for root from 61.233.18.190 port 47366 ssh2
Oct 21 08:33:25 debianws sshd[31669]: Failed password for root from 61.233.18.190 port 47446 ssh2
Oct 21 08:33:29 debianws sshd[31671]: Failed password for root from 61.233.18.190 port 47553 ssh2
Oct 21 08:33:34 debianws sshd[31673]: Failed password for root from 61.233.18.190 port 47638 ssh2

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

donderdag 21 oktober 2004 09:59

Acties:

pinockio

code:

Oct 19 14:56:15 localhost sshd[29517]: Illegal user user from 222.45.45.132
Oct 19 14:56:45 localhost sshd[29583]: Illegal user test from 222.45.45.132
Oct 19 20:37:41 localhost sshd[3823]: Illegal user test from 212.78.150.64
Oct 19 20:37:45 localhost sshd[3827]: Illegal user guest from 212.78.150.64
Oct 19 20:37:47 localhost sshd[3837]: Illegal user admin from 212.78.150.64
Oct 19 20:37:48 localhost sshd[3841]: Illegal user admin from 212.78.150.64
Oct 19 20:37:49 localhost sshd[3847]: Illegal user user from 212.78.150.64
Oct 19 20:37:56 localhost sshd[3865]: Illegal user test from 212.78.150.64
Oct 20 07:28:52 localhost sshd[13761]: Illegal user test from 210.115.49.143
Oct 20 07:28:55 localhost sshd[13771]: Illegal user guest from 210.115.49.143
Oct 20 07:28:58 localhost sshd[13779]: Illegal user admin from 210.115.49.143
Oct 20 07:29:01 localhost sshd[13787]: Illegal user admin from 210.115.49.143
Oct 20 07:29:05 localhost sshd[13793]: Illegal user user from 210.115.49.143
Oct 20 07:29:22 localhost sshd[13835]: Illegal user test from 210.115.49.143
Oct 20 18:23:33 localhost sshd[23969]: Illegal user test from 218.11.101.100

Hier ook dus. Gelukkig mag root bij mij niet inloggen en hebben de users vrij sterke passwords...

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

donderdag 21 oktober 2004 10:04

Acties:

Nakebod

Nope.

DeMoN, zo te zien heb jij ook nog aan staan dat root mag inloggen, misschien ook slim om uit te zetten?
En naar aanleiding van dit topic ben ik ook ff gaan kijken in mijn log, had er alw el eerder van gehoord dat dit vaker gebeurde.

Oct 21 06:22:15 NNW sshd[25610]: User root not allowed because not listed in AllowUsers
Oct 21 06:22:16 NNW sshd[25612]: Could not reverse map address 193.145.113.57.

Oudere log:

Oct 16 20:44:56 NNW sshd[18145]: Could not reverse map address 80.120.141.203.
Oct 16 20:44:56 NNW sshd[18145]: User root not allowed because not listed in AllowUsers
Oct 16 20:45:00 NNW sshd[18147]: Could not reverse map address 80.120.141.203.

Dit ip, via IP Locator gevonden als een iets uit Spanje, probeerd minstens 1x per seconde te connecten sinds vannacht, maar nu niet meer.

En wat betekend die Could not reverse map address eigenlijk? Omdat ik die ook wel eens terug zie in me log voor mijn eigen local ip?

En, ik zie bij andere vaak guest/admin/test logins, zover ik bij mij kan zien, vannaf verschillende ip adressen, gebruiken ze hier alleen root.

Blog | PVOutput Zonnig Beuningen

donderdag 21 oktober 2004 10:13

Acties:

DeMoN

Pastafari

Nakebod schreef op 21 oktober 2004 @ 10:04:
DeMoN, zo te zien heb jij ook nog aan staan dat root mag inloggen, misschien ook slim om uit te zetten?

Jah ik weet het... zet het wel uit, al zie ik het gevaar er niet van in

Sterk wachtwoord verder dus..

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

donderdag 21 oktober 2004 10:18

Acties:

Nakebod

Nope.

Nouwja, STEL, want zeg nooit nooit

dat ze je root wachtwoord toch krijgen, kunnen ze direct via root inloggen, 100% control.

Heb je root login uit (En ff niet ervan uitgaan dat ze via exploit ofzo root verkrijgen.) moeten ze eerst inloggen met een normale user, en als die ook een goed wachtwoord heeft, hebben ze dus al meer moeite moeten doen om in te loggen. Ze hebben immers nu
1: Een geldige gebruiker nodig die in mag loggen via SSH,
2: Het wachtwoord van die account,
3: Het root wachtwoord.

Daarom mag op mijn server ook maar 1 user inloggen, en root en alle andere users worden geweigerd. (Editje: Nog iets veiliger zou zijn om alle ip adressen te blocken behalve je eigen bekende, lastig als je echter ergens anders bent een keer.)
Nog steeds geen 100% veiligheid, maar dat krijg je eigenlijk nooit als je aan het internet hangt

Je kan slechts beperken

[ Voor 9% gewijzigd door Nakebod op 21-10-2004 10:19 ]

Blog | PVOutput Zonnig Beuningen

donderdag 21 oktober 2004 10:19

Acties:

BoAC

Memento mori

DeMoN schreef op 21 oktober 2004 @ 10:13:
[...]

Jah ik weet het... zet het wel uit, al zie ik het gevaar er niet van in
Sterk wachtwoord verder dus..

Maar zonder root login heb je dus 2 onbekenden

Als je nu 1 user recht geeft om te mogen su'en ben je er ook (Wat ik dus ook doe)

donderdag 21 oktober 2004 10:20

Acties:

ShadowBumble

Professioneel Prutser

De afgelopen dagen is idd de pogingen gigantisch gestegen hier een stuk van mijn Firewall.log

FreeBSD 5.2.1-RELEASE-p11
Uiteraard met een Custom Kernel & IPF icm NAT

code:

04:02 BSD sshd[82274]: Failed password for root from 211.197.237.148 port 16775 ssh2
04:05 BSD sshd[82276]: Failed password for root from 211.197.237.148 port 18893 ssh2
04:08 BSD sshd[82278]: Failed password for root from 211.197.237.148 port 20180 ssh2
04:11 BSD sshd[82280]: Failed password for root from 211.197.237.148 port 20911 ssh2
04:14 BSD sshd[82282]: Failed password for root from 211.197.237.148 port 22488 ssh2
04:17 BSD sshd[82284]: Failed password for root from 211.197.237.148 port 23236 ssh2
04:20 BSD sshd[82286]: Failed password for root from 211.197.237.148 port 24475 ssh2
04:23 BSD sshd[82288]: Failed password for root from 211.197.237.148 port 25341 ssh2
04:26 BSD sshd[82290]: Failed password for root from 211.197.237.148 port 26576 ssh2
04:29 BSD sshd[82292]: Failed password for root from 211.197.237.148 port 28180 ssh2
04:32 BSD sshd[82296]: Failed password for root from 211.197.237.148 port 28808 ssh2
04:35 BSD sshd[82298]: Failed password for root from 211.197.237.148 port 30434 ssh2
04:38 BSD sshd[82300]: Failed password for root from 211.197.237.148 port 31318 ssh2
04:41 BSD sshd[82302]: Failed password for root from 211.197.237.148 port 32503 ssh2
04:44 BSD sshd[82304]: Failed password for root from 211.197.237.148 port 33824 ssh2
04:47 BSD sshd[82306]: Failed password for root from 211.197.237.148 port 34796 ssh2
04:50 BSD sshd[82308]: Failed password for root from 211.197.237.148 port 36304 ssh2
04:53 BSD sshd[82310]: Failed password for root from 211.197.237.148 port 37151 ssh2
04:56 BSD sshd[82312]: Failed password for root from 211.197.237.148 port 38451 ssh2
04:59 BSD sshd[82314]: Failed password for root from 211.197.237.148 port 39816 ssh2
05:02 BSD sshd[82316]: Failed password for root from 211.197.237.148 port 40409 ssh2
05:04 BSD sshd[82321]: Failed password for root from 211.197.237.148 port 42161 ssh2
05:07 BSD sshd[82323]: Failed password for root from 211.197.237.148 port 43110 ssh2
05:10 BSD sshd[82325]: Failed password for root from 211.197.237.148 port 44351 ssh2
05:13 BSD sshd[82327]: Failed password for root from 211.197.237.148 port 45821 ssh2
05:16 BSD sshd[82329]: Failed password for root from 211.197.237.148 port 46429 ssh2
05:19 BSD sshd[82331]: Failed password for root from 211.197.237.148 port 47671 ssh2
05:23 BSD sshd[82333]: Failed password for root from 211.197.237.148 port 48322 ssh2
05:26 BSD sshd[82335]: Failed password for root from 211.197.237.148 port 50314 ssh2
05:29 BSD sshd[82337]: Failed password for root from 211.197.237.148 port 51586 ssh2
05:32 BSD sshd[82339]: Failed password for root from 211.197.237.148 port 52287 ssh2
05:35 BSD sshd[82341]: Failed password for root from 211.197.237.148 port 53781 ssh2
05:38 BSD sshd[82343]: Failed password for root from 211.197.237.148 port 54581 ssh2
05:41 BSD sshd[82345]: Failed password for root from 211.197.237.148 port 55919 ssh2
05:44 BSD sshd[82347]: Illegal user cip52 from 211.197.237.148
05:47 BSD sshd[82349]: Illegal user cip51 from 211.197.237.148
05:50 BSD sshd[82351]: Failed password for root from 211.197.237.148 port 59599 ssh2
05:52 BSD sshd[82353]: Illegal user noc from 211.197.237.148
05:55 BSD sshd[82355]: Failed password for root from 211.197.237.148 port 61569 ssh2
05:58 BSD sshd[82357]: Failed password for root from 211.197.237.148 port 62732 ssh2
06:01 BSD sshd[82359]: Failed password for root from 211.197.237.148 port 63742 ssh2
06:04 BSD sshd[82361]: Failed password for root from 211.197.237.148 port 1120 ssh2
06:07 BSD sshd[82363]: Illegal user webmaster from 211.197.237.148
06:10 BSD sshd[82365]: Illegal user data from 211.197.237.148
06:13 BSD sshd[82367]: Illegal user user from 211.197.237.148
06:16 BSD sshd[82369]: Illegal user user from 211.197.237.148
06:19 BSD sshd[82371]: Illegal user user from 211.197.237.148
06:22 BSD sshd[82373]: Illegal user web from 211.197.237.148
06:25 BSD sshd[82375]: Illegal user web from 211.197.237.148
06:28 BSD sshd[82377]: Illegal user oracle from 211.197.237.148
06:31 BSD sshd[82379]: Illegal user sybase from 211.197.237.148
06:34 BSD sshd[82381]: Illegal user master from 211.197.237.148
06:37 BSD sshd[82383]: Illegal user account from 211.197.237.148
06:40 BSD sshd[82385]: Illegal user backup from 211.197.237.148
06:42 BSD sshd[82387]: Illegal user server from 211.197.237.148
06:45 BSD sshd[82389]: Illegal user adam from 211.197.237.148
06:48 BSD sshd[82391]: Illegal user alan from 211.197.237.148
06:51 BSD sshd[82393]: Illegal user frank from 211.197.237.148
06:54 BSD sshd[82395]: Illegal user george from 211.197.237.148
06:57 BSD sshd[82397]: Illegal user henry from 211.197.237.148
07:00 BSD sshd[82399]: Illegal user john from 211.197.237.148
07:03 BSD sshd[82401]: Failed password for root from 211.197.237.148 port 23901 ssh2
07:06 BSD sshd[82403]: Failed password for root from 211.197.237.148 port 25112 ssh2
07:09 BSD sshd[82405]: Failed password for root from 211.197.237.148 port 26491 ssh2
07:12 BSD sshd[82407]: Failed password for root from 211.197.237.148 port 26953 ssh2
07:15 BSD sshd[82409]: Failed password for root from 211.197.237.148 port 28394 ssh2
07:18 BSD sshd[82411]: Illegal user test from 211.197.237.148

en zo gaat het wel even door. Voornamelijk Asia gasten en met name zie ik in .kr ip's dit toenemen

"Allow me to shatter your delusions of grandeur."

donderdag 21 oktober 2004 10:25

Acties:

Verwijderd

Het zijn inderdaad gasten die via ssh je netwerk binnen te treden, ze hoeven niet persee van die universiteit te komen ofzo hoor. Ze gaan natuurlijk niet op hun trage internetverbinding thuis hele ranges doorscannen. Omdat universiteiten tohc wat easy te hacken zijn gebruiken ze vaak gewoon daar een pc om de poorten te scannen. Guest , admin , test zijn gewoon default van het scanprogrammatje niet echt om je zorgen om te maken lijkt me. Vermeid gewoon makkelijke paswoorden zoals 123456 in combinatie met vaak gebruikte usernames: en ze komen er met die tooltjes toch niet in.

[ Voor 29% gewijzigd door Verwijderd op 21-10-2004 10:28 ]

donderdag 21 oktober 2004 10:25

Acties:

DeMoN

Pastafari

Nakebod schreef op 21 oktober 2004 @ 10:18:
Nouwja, STEL, want zeg nooit nooit dat ze je root wachtwoord toch krijgen, kunnen ze direct via root inloggen, 100% control.

Heb je root login uit (En ff niet ervan uitgaan dat ze via exploit ofzo root verkrijgen.) moeten ze eerst inloggen met een normale user, en als die ook een goed wachtwoord heeft, hebben ze dus al meer moeite moeten doen om in te loggen. Ze hebben immers nu
1: Een geldige gebruiker nodig die in mag loggen via SSH,
2: Het wachtwoord van die account,
3: Het root wachtwoord.

Daarom mag op mijn server ook maar 1 user inloggen, en root en alle andere users worden geweigerd. (Editje: Nog iets veiliger zou zijn om alle ip adressen te blocken behalve je eigen bekende, lastig als je echter ergens anders bent een keer.)
Nog steeds geen 100% veiligheid, maar dat krijg je eigenlijk nooit als je aan het internet hangt
Je kan slechts beperken

BoAC schreef op 21 oktober 2004 @ 10:19:
[...]

Maar zonder root login heb je dus 2 onbekenden
Als je nu 1 user recht geeft om te mogen su'en ben je er ook (Wat ik dus ook doe)

Oke. Aangepast

Btw... die log van ShadowBumble... het laat wel weer zien dat het echt veel verschillende IP's zijn.
Die bij mij connect is een soort webmailserver... check: http://61.233.18.190

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

donderdag 21 oktober 2004 10:31

Acties:

ShadowBumble

Professioneel Prutser

DeMoN schreef op 21 oktober 2004 @ 10:25:
Btw... die log van ShadowBumble... het laat wel weer zien dat het echt veel verschillende IP's zijn.
Die bij mij connect is een soort webmailserver... check: http://61.233.18.190

Ik heb binnen 2 weken tijd ongeveer 60 verschillende ip's verzamelt dus het zijn der idd behoorlijk wat ik vermoet dat deze log van een ssh worm is. maar ik zie ook dagelijks manual attempts

"Allow me to shatter your delusions of grandeur."

donderdag 21 oktober 2004 21:18

Acties:

alt-92

ye olde farte

* alt-92 heeft half .kr al blacklisted @ firewall

Scheelt ook iets met spamruns (plm. 15%)

[ Voor 39% gewijzigd door alt-92 op 21-10-2004 22:47 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device