Toon posts:

[Linux] SSH wordt aangevallen. Virus?

Pagina: 1
Acties:
  • 191 views sinds 30-01-2008
  • Reageer

zaterdag 11 september 2004 09:19

Acties:
  • om3ega
  • Registratie: Maart 2001
  • Laatst online: 23:04

om3ega

Topicstarter
Ik merk al een tijd lang iets vreemds op in mijn logs. De regelmatigheid waarbij het optreed en de standaard aanvals methode lijkt me daarom ook iets van een virus.

Misschien weet iemand hier wat het is?

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

--------------------- SSHD Begin ------------------------ 


Failed logins from these:
   admin/password from 128.104.186.222: 2 Time(s)
   guest/password from 128.104.186.222: 1 Time(s)
   guest/password from 161.200.92.1: 1 Time(s)
   root/password from 128.104.186.222: 476 Time(s)
   test/password from 128.104.186.222: 5 Time(s)
   test/password from 161.200.92.1: 1 Time(s)
   user/password from 128.104.186.222: 1 Time(s)

**Unmatched Entries**
Illegal user test from 128.104.186.222
Illegal user guest from 128.104.186.222
Illegal user admin from 128.104.186.222
Illegal user admin from 128.104.186.222
Illegal user user from 128.104.186.222
Illegal user test from 128.104.186.222
Illegal user test from 128.104.186.222
Illegal user test from 128.104.186.222
Illegal user test from 128.104.186.222
Illegal user test from 161.200.92.1
Illegal user guest from 161.200.92.1

 ---------------------- SSHD End -------------------------


Dit is elke dag , verschillende IP's .. maar altijd guest , admin , user , test etc..
Moet ik me zorgen gaan maken? Moet ik mijn SSH daemon alleen laten luisteren naar bekende IP adressen? Mijn root password is vrij lang , maar voor de zekerheid verander ik hem nog maar een keertje :) ..

Komt iemand dit bekend voor? Het fenomeen is al een week of 2 a 3 bezig.. Misschien zit ik in een e.o.a. lijst ofzo?

[ Voor 4% gewijzigd door om3ega op 11-09-2004 09:20 ]

zaterdag 11 september 2004 09:49

Acties:
  • _fm
  • Registratie: September 2003
  • Niet online

_fm

http://isc.sans.org/diary.php?date=2004-08-22 <-- de verklaring
en een paar dagen later nog enkele 'tips'

zaterdag 11 september 2004 10:17

Acties:
  • niels_999348
  • Registratie: Maart 2003
  • Laatst online: 07:27

niels_999348

Er is een public brute forcer beschikbaar gekomen,
dit zijn allemaal scriptkiddies die een warez bak van je computer willen maken ;).
http://www.k-otik.com/exploits/08202004.brutessh2.c.php
dit is hem.
ZORG DAT JE PASWOORD NIET IN DIE LIJST STAAT!

de exploit:
/*
*the first brutessh was only for users guest & test
*brutessh2 is a brute for sshd port wich atempts to login as root trying more than 2000 passwords for it.
*users guest , test , nobody and admin with no passwords are included.
*feel free to add more passwords and more users:=)
*by Zorg of #texter
*www.wget.home.ro
*wget@home.ro
*For mass use a synscan :
*Eg: ./biggssh sship.txt
* Ok.Try This : Hostname root:12345
*/

[ Voor 48% gewijzigd door niels_999348 op 11-09-2004 10:17 ]

zaterdag 11 september 2004 10:36

Acties:
  • om3ega
  • Registratie: Maart 2001
  • Laatst online: 23:04

om3ega

Topicstarter
Thanks! .. Ik heb meestal niet echt voor de hand liggende paswoorden en users kunnen niet via ssh erbij :) .. In dit geval gaat altijd een abuse melding naar de betreffende provider. Lijkt me zinnig aangezien deze aanvallen "bewust" worden gedaan. Ik moet nog iets van een script zien te vinden wat automatisch abuse meldingen kan sturen. ;)

zaterdag 11 september 2004 11:08

Acties:
  • Fl4sh3r
  • Registratie: Juni 2002
  • Laatst online: 02-10-2023

Fl4sh3r

Verrek, ik heb er idd ook last van...

Hoe zit dat precies met melding doen? Uit mn log-files weet ik wel een IP te halen en met whois tools een eigenaar, maar er staat zo veel info bij die whois... Bovendien zijn de meeste adressen van "Korea Network Information Center" en is het dus maar de vraag of die Koreaan mijn engels snapt.

Bij een whois op mn eigen IP krijg ik tenminste netjes:
remarks: Please send email to "abuse [at] xs4all.nl" for complaints

[ Voor 28% gewijzigd door Fl4sh3r op 11-09-2004 11:11 ]

zaterdag 11 september 2004 11:13

Acties:
  • om3ega
  • Registratie: Maart 2001
  • Laatst online: 23:04

om3ega

Topicstarter
Bij een Whois staat (bijna) altijd een abuse adres. Voorbeeldje :
whois 128.104.186.222

OrgName: University of Wisconsin-Madison
OrgID: UNIVER-17
Address: Computer Systems Lab
Address: 1210 W Dayton St Rm 2350
City: Madison
StateProv: WI
PostalCode: 53706
Country: US

NetRange: 128.104.0.0 - 128.104.255.255
CIDR: 128.104.0.0/16
NetName: WISC-HERD
NetHandle: NET-128-104-0-0-1
Parent: NET-128-0-0-0-0
NetType: Direct Assignment
NameServer: DNS.CS.WISC.EDU
NameServer: CS.WISC.EDU
NameServer: DNS2.ITD.UMICH.EDU
Comment:
RegDate:
Updated: 2004-07-27


AbuseHandle: NO13-ORG-ARIN
AbuseName: Network Operations
AbusePhone: +1-608-263-4188
AbuseEmail: hostadmin@doit.wisc.edu


TechHandle: NO13-ORG-ARIN
TechName: Network Operations
TechPhone: +1-608-263-4188
TechEmail: hostadmin@doit.wisc.edu


OrgAbuseHandle: DP14-ARIN
OrgAbuseName: Parter, David
OrgAbusePhone: +1-608-262-0608
OrgAbuseEmail: dparter@cs.wisc.edu


OrgTechHandle: DP14-ARIN
OrgTechName: Parter, David
OrgTechPhone: +1-608-262-0608
OrgTechEmail: dparter@cs.wisc.edu

# ARIN WHOIS database, last updated 2004-09-10 19:10
In dit geval heb ik het naar 2 gestuurd :)

zaterdag 11 september 2004 11:31

Acties:
  • Fl4sh3r
  • Registratie: Juni 2002
  • Laatst online: 02-10-2023

Fl4sh3r

Ik heb toch een adres gevonden. Mail is verstuurd, al vraag ik me wel af hoeveel er nou aan gedaan wordt :Z

zaterdag 11 september 2004 11:35

Acties:
  • SyS_ErroR
  • Registratie: Juni 2002
  • Nu online

SyS_ErroR

ik heb mijn interne ssh poort gewoon gemapt naar een andere externe ssh poort ;)

*problem solved* :Y) (hoop ik ;))

zaterdag 11 september 2004 12:01

Acties:

Verwijderd

Tja.. ik denk dat je dan aan de gang kan blijven met abuse mailen.
Dit is alleen al van gisteren:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35

Failed logins from these:
   admin/password from 210.22.128.135: 10 Time(s)
   admin/password from 61.166.6.60: 8 Time(s)
   guest/password from 144.16.93.115: 2 Time(s)
   guest/password from 210.22.128.135: 5 Time(s)
   guest/password from 61.166.6.60: 4 Time(s)
   root/password from 210.22.128.135: 15 Time(s)
   root/password from 61.166.6.60: 10 Time(s)
   test/password from 144.16.93.115: 5 Time(s)
   test/password from 210.22.128.135: 10 Time(s)
   test/password from 61.166.6.60: 6 Time(s)
   user/password from 210.22.128.135: 5 Time(s)
   user/password from 61.166.6.60: 4 Time(s)

Illegal users from these:
   admin/none from 210.22.128.135: 10 Time(s)
   admin/none from 61.166.6.60: 8 Time(s)
   admin/password from 210.22.128.135: 10 Time(s)
   admin/password from 61.166.6.60: 8 Time(s)
   guest/none from 144.16.93.115: 2 Time(s)
   guest/none from 210.22.128.135: 5 Time(s)
   guest/none from 61.166.6.60: 4 Time(s)
   guest/password from 144.16.93.115: 2 Time(s)
   guest/password from 210.22.128.135: 5 Time(s)
   guest/password from 61.166.6.60: 4 Time(s)
   test/none from 144.16.93.115: 5 Time(s)
   test/none from 210.22.128.135: 10 Time(s)
   test/none from 61.166.6.60: 6 Time(s)
   test/password from 144.16.93.115: 5 Time(s)
   test/password from 210.22.128.135: 10 Time(s)
   test/password from 61.166.6.60: 6 Time(s)
   user/none from 210.22.128.135: 5 Time(s)
   user/none from 61.166.6.60: 4 Time(s)
   user/password from 210.22.128.135: 5 Time(s)
   user/password from 61.166.6.60: 4 Time(s)

En dan is dit nog een 'rustige' server.

Gewoon sterke passwords erop zetten en de boel regelmatig in de gaten houden.

zaterdag 11 september 2004 12:33

Acties:
  • Wilke
  • Registratie: December 2000
  • Laatst online: 07:11

Wilke

Hier loopt ook al een ander topic over: Toename ssh login attempts

zaterdag 11 september 2004 13:18

Acties:
  • niels_999348
  • Registratie: Maart 2003
  • Laatst online: 07:27

niels_999348

Om even over de abuse terug te komen,
De mensen gebruiken gehackte computers om vanaf te scannen (scanstro's).
De gebruiker weet het zelf niet.
Heeel soms gebruiken ze hun eigen computer.

zaterdag 11 september 2004 13:25

Acties:

Verwijderd

Dan kunnen ze daar door hun provider van op de hoogte gesteld worden :)

zaterdag 11 september 2004 14:20

Acties:
  • niels_999348
  • Registratie: Maart 2003
  • Laatst online: 07:27

niels_999348

mmm verek,
je hebt nog gelijk ook :p

zaterdag 11 september 2004 18:23

Acties:
  • niels_999348
  • Registratie: Maart 2003
  • Laatst online: 07:27

niels_999348

Trouwens als ik nog er even tussen mag blaten :9
Zet is een honypot op.
Zou best een leuk studie object zijn voor een mooie thread op tweakers.
:/ alleen zal mijn idee nooit uitgevoerd worden :|
Mischien moet ik het zelf is doen O-)

zaterdag 11 september 2004 18:27

Acties:
  • TheBorg
  • Registratie: November 2002
  • Laatst online: 01-12 12:54

TheBorg

Resistance is futile.

Gewoon APF (Advanced Policy Firewall) en BFD (Brute Force Detection) installeren. Als er dan een brute-force plaatsvind komen de IP's automatisch in de Firewall :)

http://www.rfxnetworks.com/proj.php

zaterdag 11 september 2004 18:29

Acties:
  • HunterPro
  • Registratie: Juni 2001
  • Niet online

HunterPro

ik zie steeds de user root. Zijn er zoveel mensen dan die remote root open hebben staan? :X

maandag 13 september 2004 01:32

Acties:
  • Wolfboy
  • Registratie: Januari 2001
  • Niet online

Wolfboy

ubi dubium ibi libertas

HunterPro schreef op 11 september 2004 @ 18:29:
ik zie steeds de user root. Zijn er zoveel mensen dan die remote root open hebben staan? :X
Ik heb een tijdje geleden van iemand gehoord dat je bij slackware remote root login niet kon uitschakelen (het lijkt mij BS en ik geloof er ook niets van maar ik heb het nog niet kunnen testen)

Blog [Stackoverflow] [LinkedIn]

maandag 13 september 2004 01:36

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

* CyBeR zet uiteraard remote root login overal uit.

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 13 september 2004 06:53

Acties:
  • om3ega
  • Registratie: Maart 2001
  • Laatst online: 23:04

om3ega

Topicstarter
APF en BFD zoals TheBorg hierboven aanhaalde werken inderdaad perfect! Tnx
The remote system 218.54.200.87 was found to have exceeded acceptable login failures on ********. As such the attacking host has been banned from further accessing this system; for the integrity of your host you should investigate this event as soon as possible.

The following are event logs for exceeded login failures from 218.54.200.87 (all time stamps are GMT +0200):
----
- Executed actions:
/etc/apf/apf -d 218.54.200.87

[ Voor 3% gewijzigd door om3ega op 13-09-2004 06:53 ]

dinsdag 14 september 2004 22:39

Acties:
  • Polichism
  • Registratie: Maart 2002
  • Niet online

Polichism

MOEHOE

(overleden)
Heb er hier ook last van gehad @ FreeBSD 4.10:"

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

Aug 24 05:54:49 spike sshd[6508]: Illegal user test from 211.58.250.142
Aug 24 05:54:53 spike sshd[6510]: Illegal user guest from 211.58.250.142
Aug 24 16:16:24 spike sshd[7307]: Illegal user test from 62.193.225.135
Aug 24 16:16:25 spike sshd[7309]: Illegal user guest from 62.193.225.135
Aug 24 16:16:26 spike sshd[7311]: Illegal user admin from 62.193.225.135
Aug 24 16:16:27 spike sshd[7313]: Illegal user admin from 62.193.225.135
Aug 24 16:16:28 spike sshd[7315]: Illegal user user from 62.193.225.135
Aug 24 16:16:29 spike sshd[7317]: Failed password for root from 62.193.225.135 p
ort 46673 ssh2
Aug 24 16:16:29 spike sshd[7319]: Failed password for root from 62.193.225.135 p
ort 46691 ssh2
Aug 24 16:16:30 spike sshd[7321]: Failed password for root from 62.193.225.135 p
ort 46708 ssh2
Aug 24 16:16:31 spike sshd[7323]: Illegal user test from 62.193.225.135
Aug 24 22:28:13 spike sshd[7797]: error: PAM: Authentication failure


Maar maakt me verder ook niet uit..
want in /etc/hosts.allow heb ik dus alles op deny staan..
En welke ip's ik toe wil laten staan on allow...

ff voorbeeldje:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13

# Start by allowing everything (this prevents the rest of the file
# from working, so remove it when you need protection).
# The rules here work on a "First match wins" basis.
#ALL : ALL : allow

# Wrapping sshd(8) is not normally a good idea, but if you
# need to do it, here's how
#sshd : .evil.cracker.example.com : deny
sshd : 192.168.2.164 : allow
sshd : 192.168.2.6 : allow
sshd : 192.168.2.8 : allow
sshd : 192.168.2.165 : allow
sshd : ALL : deny


In vervolg krijg je dan te zien als ze het weer proberen:

code:
1
2
3

Sep 14 03:47:56 localhost sshd[26203]: refused connect from xx.xxx.xxx.xxx (xx.x
xx.xxx.xxx)
Sep 14 08:30:20 localhost sshd[26626]: refused connect from xx.xxx.xx.xxx (xx.xxx.xx.xxx)


Nergens last verder meer van.
Zou zo snel even niet weten of je dat in linux ook hebt.

{02:31:10} (splinkie): ik hoor net van iemand dat ze nu met een fietsband moest naaien omdat ze geen condooms meer kon betalen || {02:34:44} (Asjemenou): beter met een lange tijd met goodyear dan een korte tijd met firestone en in de problemen komen

dinsdag 14 september 2004 22:52

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Polichism schreef op 14 september 2004 @ 22:39:
Heb er hier ook last van gehad @ FreeBSD 4.10:"

[code]
Maar maakt me verder ook niet uit..
want in /etc/hosts.allow heb ik dus alles op deny staan..
En welke ip's ik toe wil laten staan on allow...
Dat kan ook door 'm gewoon niet op je externe IP-adres te laten listenen. (Maar wat heb je aan een niet-remote-accessible ssh?)

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 15 september 2004 09:56

Acties:
  • Polichism
  • Registratie: Maart 2002
  • Niet online

Polichism

MOEHOE

(overleden)
CyBeR schreef op 14 september 2004 @ 22:52:
[...]


Dat kan ook door 'm gewoon niet op je externe IP-adres te laten listenen. (Maar wat heb je aan een niet-remote-accessible ssh?)
Ik was te lui om xxx te zetten verder.
Daarom heb ik de rest van mijn hosts.allow niet gepost... omdat daar ip's in staan waarvan ik remote kan inloggen.. zoals vanaf vriendin.. vanaf kameraad.
Hun ip staat er ook bij in :)

{02:31:10} (splinkie): ik hoor net van iemand dat ze nu met een fietsband moest naaien omdat ze geen condooms meer kon betalen || {02:34:44} (Asjemenou): beter met een lange tijd met goodyear dan een korte tijd met firestone en in de problemen komen

woensdag 15 september 2004 10:10

Acties:

Verwijderd

Je zou ook eens naar portknocking kunnen kijken.
Dat is een stel scripts waarmee je remote poorten kan openzetten.
Werkt ongeveer zo,je laat je firewall alle drop akties loggen.Als je nu van een remote lokatie in een bepaalde volgorde aan de poorten klopt,en dus drops veroorzaakt ,past het script dat je firewall log in de gaten houd iptables aan om b.v. poort 22 te openen :)
Zie ook de c't van deze maand..

donderdag 30 september 2004 01:41

Acties:
  • HunterPro
  • Registratie: Juni 2001
  • Niet online

HunterPro

Wolfboy schreef op 13 september 2004 @ 01:32:
[...]
Ik heb een tijdje geleden van iemand gehoord dat je bij slackware remote root login niet kon uitschakelen (het lijkt mij BS en ik geloof er ook niets van maar ik heb het nog niet kunnen testen)
*lange kick*

lijkt me tamelijk onzin; tis gewoon een optie @ sshd-configfile. En ook slack heeft die :)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq