hackingversuche

P

porschinho

Mitglied
hi

ich in meinen serverlogs tausende fehlgeschlagene ssh anmeldeversuche entdeckt. einige ip´s der angreifer stammen von root-servern aus dem 1und1 / schlund rechenzentrum.

würdet ihr die logs an schlund weiterleiten, oder wie würdet ihr mit diesem problem umgehen?

kennt jemend ne möglichkeit rauszufinden, welche webseiten auf dem server liegen? wenn ich nur die ip eingebe, sehe ich eine under construction page. gibt es vieleicht ein abfragetool im netz, welches domains zu ip auflöst? glaube eher nicht, oder?

mist!
 
Wenn Du möchtest, kannst Du das machen, dass musst Du selber entscheiden.
Ich habe laufend solche Angriffe auf mein SSH, das ist relative normal. Ich ignoriere diese Versuche weitesgehend.


Auszug einer Benachrichtungs-E-Mail von logwatch:
CODE Failed logins from these:
Clara/password from 200.118.125.209: 1 Time(s)
Claudia/password from 200.118.125.209: 1 Time(s)
adele/password from 200.118.125.209: 1 Time(s)
admin/password from 193.217.215.196: 2 Time(s)
alexa/password from 200.118.125.209: 1 Time(s)
alexandra/password from 200.118.125.209: 1 Time(s)
alisha/password from 200.118.125.209: 1 Time(s)
...




MfG Sascha Ahlers
 
Versuche Benutzernamen mit ähnlichen Kriterien zu wählen wie Passwörter, dann kannst Du aufhören diese Logs zu lesen...
wink.gif
Die Wahrscheinlichkeit eines Einbruchs sinkt dann schlagartig. Solche Attacken sind Dir aber sogar sicher, wenn Du mit dynamischen IPs am Netz bist.

QUOTE gibt es vieleicht ein abfragetool im netz, welches domains zu ip auflöst? glaube eher nicht, oder?

Doch die gibt es.
 
QUOTE (Alain Aubert @ Di 7.2.2006, 0:58)Versuche Benutzernamen mit ähnlichen Kriterien zu wählen wie Passwörter, dann kannst Du aufhören diese Logs zu lesen...
wink.gif
Die Wahrscheinlichkeit eines Einbruchs sinkt dann schlagartig. [...]

Noch besser ist es, wenn man nur mit einem asymmetrischen Verschlüsselungssystem innerhalb der SSH-Authentifizierung arbeitet (und natürlich entsprechend guter Passphase) und ein entsprechendes PAM-Modul [1] installiert, um auffällige IP-Adressen kurzzeitig zu sperren.



MfG Sascha Ahlers

[1] pam_abl
 
QUOTE (porschinho @ Di 7.2.2006, 0:23) gibt es vieleicht ein abfragetool im netz, welches domains zu ip auflöst? glaube eher nicht, oder?

mist!

commandozeile

also start ausfuehren
dann command.com eingeben
dann ping www.deineadresse.com
du siehst dann die ip deiner adresse

mit tracert sollte es auch gehn
 
Schaut euch sonst mal Denyhosts an, ist eine gute Sache. Seit Denyhosts bei mir läuft, ist das Logwatch wieder übersichtlich
wink.gif


Denyhosts läuft entweder per Cron oder Dämon. Wird die konfigurierte Anzahl Loginversuche überschritten, wird die IP automatisch in die /etc/hosts.deny eingetragen, und so den Zugriff auf den SSH gesperrt. Gleichzeitig wird noch eine E-Mail gesendet (auf Wunsch), mit dem aufgelösten Hostnamen, sofern möglich. Bei mir werden so pro Tag rund 2-5 IP's ausgeschlossen.
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben