Feb 5 22:55:22 h******* sshd[13868]: Failed password for root from 85.214.xx.xxx port 52709 ssh2
Was steckt hinter den beiden ersten Log-Zeilen, die lange vor dem
eigentlichen Einbruchsversuch kamen?
Ein Versuch, den Apachen aufs Kreuz zu legen, kann es nicht sein, denn
mit einzelnen solchen Paketen wird man das kaum schaffen.
Ein Standardversuch. Eine SSH Loginanfrage. Dann creirt der Server einen
neuen Thread und wartet. Es kommt dann nichts mehr, aber das Memory ist
weg. Zumindest fuer eine gewisse Zeit. So ein Angriff laeft mit 1000
Clients aufs mal.
Eine gute Abwehr dagegen ist, die anfragende IP fuer einen Tag zu
sperren.
Noch besser ist den SSH port zu sperren, sofern man sich das erlauben
kann.
So wies aussieht, kommt der Angriff von einem Strato-Server, die IP
sieht mir irgendwie danach aus.
Wahrscheinlich ein infizierter Server in deren Netz.
Du kannst das mal an Strato melden , die sollten sich drum kümmern.
Hatte ich neulich auch!
Pico Oschi schrieb:> Ein Standardversuch. Eine SSH Loginanfrage. Dann creirt der Server einen> neuen Thread und wartet. Es kommt dann nichts mehr, aber das Memory ist> weg. Zumindest fuer eine gewisse Zeit. So ein Angriff laeft mit 1000> Clients aufs mal.
Nein, das ist es nicht!!!
Solche Anfragen kommen nicht 1000-fach, sondern nur 1 bis 2 mal, meist
mehr oder weniger lange bevor eine Bruteforce-Attacke auf das Paßwort
gestartet wird.
> Eine gute Abwehr dagegen ist, die anfragende IP fuer einen Tag zu> sperren.
Ich sperr die Kerle für eine Woche aus, damit sie nicht dauernd wieder
einen Alarm provozieren, bevor der Provider ihnen das Handwerk gelegt
hat. Es gibt aber immer wieder Wiederholungstäter, die offenbar
denselben Server mehrfach hintereinander kapern und dann im
Strato-Netzwerk ihr Unwesen treiben.
Dr. G. Reed schrieb:> So wies aussieht, kommt der Angriff von einem Strato-Server, die IP> sieht mir irgendwie danach aus.
Genau. Ich durchsuche meine Logs regelmäßig nach Angreifen aus den
Strato-Adreßblocks und melde die.
Im Moment scheint dort eine ziemlich massive Angriffswelle langsam
abzuebben. Ich hatte kürzlich Angriffe von bis zu 8 verschiedenen Sites
mit 85.214... an einem Tag.
Elektroniker schrieb:> Schon mal ermittelt, woher die IP-Adresse 85.214.xx.xxx stammt?
Das ist so eine Sache. whois sagt nur, daß es ein Strato-Block ist und
die Adresse per Browser aufrufen, mag ich nicht unbedingt...
Uhu Uhuhu schrieb:> Das ist so eine Sache. whois sagt nur, daß es ein Strato-Block ist und> die Adresse per Browser aufrufen, mag ich nicht unbedingt...
Machs doch über einen Proxy.
Weiter:
* Stell den ssh-Port auf einen anderen
* Erlaube ssh-Versuche nur von deinen IP-Bereich wenn du nur von zuhause
darauf zugreifst.
Troll schrieb:> Machs doch über einen Proxy.
Was soll das bringen? Wenn eine infizierte Seite über einen Proxy kommt,
ist sie doch nicht entschärft.
Ich habe ein ewig langes Zufalls-Paßwort als Notnagel auf dem ssh und
greife selbst nur per Zertifikat darauf zu. Ich glaube nicht, daß das
für meinen Server ein Problem ist, nur wollen die Kerle ja wohl kaum nur
mit fremden Servern spielen, sondern sie zu Gaunereien mißbrauchen -
denen das Handwerk zu legen, ist durchaus nützlich.
Ich hatte übrigens auch schonmal eine Attacke vom Server einer Spedition
und von einem Kreditvermittlungsportal.
Erstaunlich finde ich eigentlich, daß Strato selbst offenbar nichts,
oder nicht viel unternimmt, gekaperte Server selbst zu erkennen.
Schwierig ist das ja wohl nicht.
Ich glaub nicht, dass die Internet-Seiten selbst auf dem Server
'infiziert' sind, die kann man wohl unbesorgt aufrufen....
Der Angriff kommt ja nicht 'von den Webseiten', sondern von irgendeinem
eingeschleusten Prozess, welcher auf dem Server läuft und von dort aus
gezielt andere Server angreift.
Uhu Uhuhu schrieb:> Was soll das bringen? Wenn eine infizierte Seite über einen Proxy kommt,> ist sie doch nicht entschärft.
Benutz NoScript oder lad dir die Seite mit wget runter und betrachte sie
in einem Editor. Sei kreativ :)
Uhu Uhuhu schrieb:> nur wollen die Kerle ja wohl kaum nur> mit fremden Servern spielen, sondern sie zu Gaunereien mißbrauchen -> denen das Handwerk zu legen, ist durchaus nützlich.
Es ist schon gut, dass du die meldest, aber du fragst hier alle paar
Wochen wegen Einträgen in deinem Log.
Beitrag "Merkwürdige Anfragen an Internetserver"Beitrag "Einbruchversuche auf Internetserver"
Deine heutigen ersten beiden Einträge hatten wir im 1. verlinkten Thread
auch schon. In beiden wurde dir geraten, doch endlich mal den Port
woanders hinzulegen. Machs doch einfach mal.
Dr. G. Reed schrieb:> Ich glaub nicht, dass die Internet-Seiten selbst auf dem Server> 'infiziert' sind, die kann man wohl unbesorgt aufrufen....
Das halte ich für grob leichtsinnig. Wenn die einen Server kapern, ist
es nicht unwahrscheinlich, daß sie - sofern es eine frequentierte Site
ist - Code für XSS-Attacken dort einbauen und dann hast du die Scheiße
am Bein.
> Der Angriff kommt ja nicht 'von den Webseiten', sondern von irgendeinem> eingeschleusten Prozess, welcher auf dem Server läuft und von dort aus> gezielt andere Server angreift.
Und wer sagt, daß da nicht mehrgleisig gefahren wird? Daß sie eigene
Prozesse auf einem fremden Sever laufen haben, heißt doch nur, daß sie
ihn vollständig unter Kontrolle haben.
Troll schrieb:> Deine heutigen ersten beiden Einträge hatten wir im 1. verlinkten Thread> auch schon. In beiden wurde dir geraten, doch endlich mal den Port> woanders hinzulegen. Machs doch einfach mal.
Hatten wir nicht. Der 5.2.2012 war vorgestern.
Ich frag nicht, weil ich mir um den Server sorgen mache - wäre es so,
kannst du sicher sein, daß ich längst einen anderen Port für ssh gewählt
hätte.
Vielmehr will wissen, was hinter dem Muster steckt - vestehst du
diesen feinen Unterschied?
Uhu Uhuhu schrieb:> Hatten wir nicht. Der 5.2.2012 war vorgestern.
Mit heutigen meinte ich den Thread.
Uhu Uhuhu schrieb:> Vielmehr will wissen, was hinter dem Muster steckt - vestehst du> diesen feinen Unterschied?
Ja den verstehe ich. Aber außer dem Angreifer kann dir keiner genau
sagen, was das wird. Alle anderen können immer nur vermuten. Vielleicht
ob dein Server einfach noch online ist.
@Dr. G. Reed
Ich mal welche mit curl heruntergeladen - der Inhalt war allerdings,
sofern überhaupt über Port 80 was kam, ziemlich unspektakulär.
Troll schrieb:> Ja den verstehe ich. Aber außer dem Angreifer kann dir keiner genau> sagen, was das wird. Alle anderen können immer nur vermuten. Vielleicht> ob dein Server einfach noch online ist.
Es könnte ja sein, daß sich hier jemand rumtreibt, der sich in der
Materie auskennt. Es soll ja auch Leute geben, die sowas analysieren und
womöglich sogar ihr Geld damit verdienen, oder mal verdient haben. In
der Bäckerei um die Ecke würde ich die Frage nicht stellen ;-)
Und wenn Du noch 20x fragst, es werden keine anderen Antworten kommen.
Jeder der einen oder mehrere Server betreibt kennt dieses
"Grundrauschen" in den Logs. Sind halt einfach Scripte die nach SSH
suchen und teilweise Standardpasswörter versuchen. Interessiert nicht
die Bohne. Viel interessanter sind Angriffe die so ein Aushilfs-Admin
nicht sieht.
Also leg SSH auf einen anderen Port und/oder installier Dir ossec und
lies Dich mal ein wenig ein.
Deine ständigen Anfragen sind nichts anderes als diese Einträge in den
Logs - lästiges Grundrauschen.
Also liegt dir Nichts daran den Zirkus zu beenden, oder das
Grundrauschen zu unterbinden?
Ab welchem Level wird das eigentlich interessant kriminell, so daß man
da wirklich etwas einleiten muß?
Der neue Besitzer der Stratofarm ist dir bekannt, Uhu?
Eine deiner Lieblingsfirmen!
Du wirst doch dort nicht, durch deine Kritiken hier, ein paar Junkys
angelockt haben?
Uhu Uhuhu schrieb:> Das ist so eine Sache. whois sagt nur, daß es ein Strato-Block ist und> die Adresse per Browser aufrufen, mag ich nicht unbedingt...
ich hab davon keine Ahnung, aber kann man die nicht mit einem virtuellen
Betriebssystem aufrufen? Nachdem was ich gelesen und verstanden habe
doch sicher?
falls meine Informationen falsch sind, bitte belehre mich.
@Elektroniker
Spar dir diesen Stuß. Strato ist nicht der einzige Provider, bei dem
fremde Server gekapert werden und dein Gewäsch hat mit dem Gegenstand
absolut nichts zu tun.
ML schrieb:> ich hab davon keine Ahnung, aber kann man die nicht mit einem virtuellen> Betriebssystem aufrufen? Nachdem was ich gelesen und verstanden habe> doch sicher?
Ja, das kann man. Nur was bringt es, solche Seiten anzusehen? Äußerlich
wird man ihnen meistens überhaupt nichts ansehen und seitenweise fremden
(generierten) Skriptcode zu analysieren, finde ich nicht so furchtbar
spannend.