hackversuch? kann mir den log jemand erklären?

sunghost · Beitrag von **sunghost** » 26.03.2005 20:37:03

dies habe ich in meinem log gefunden. erklären kann ich mir das nicht recht.
wisst ihr was sache ist?

System Events
=-=-=-=-=-=-=
Mar 26 18:28:34 server sshd[32324]: Illegal user patrick from ::ffff:211.185.230.66
Mar 26 18:28:37 server sshd[32340]: Illegal user patrick from ::ffff:211.185.230.66
Mar 26 18:28:54 server sshd[32388]: Illegal user rolo from ::ffff:211.185.230.66
Mar 26 18:28:58 server sshd[32403]: Illegal user iceuser from ::ffff:211.185.230.66
Mar 26 18:29:00 server sshd[32411]: Illegal user horde from ::ffff:211.185.230.66
Mar 26 18:29:06 server sshd[32428]: Illegal user www from ::ffff:211.185.230.66
Mar 26 18:29:10 server sshd[32441]: Illegal user wwwrun from ::ffff:211.185.230.66
Mar 26 18:29:13 server sshd[32451]: Illegal user matt from ::ffff:211.185.230.66
Mar 26 18:29:19 server sshd[32460]: Illegal user test from ::ffff:211.185.230.66
Mar 26 18:29:22 server sshd[32476]: Illegal user test from ::ffff:211.185.230.66
Mar 26 18:29:26 server sshd[32482]: Illegal user test from ::ffff:211.185.230.66
Mar 26 18:29:29 server sshd[32493]: Illegal user test from ::ffff:211.185.230.66
Mar 26 18:29:38 server sshd[32525]: Illegal user operator from ::ffff:211.185.230.66
Mar 26 18:29:41 server sshd[32532]: Illegal user adm from ::ffff:211.185.230.66
Mar 26 18:29:44 server sshd[32544]: Illegal user apache from ::ffff:211.185.230.66
Mar 26 18:29:55 server sshd[32578]: Illegal user adm from ::ffff:211.185.230.66
Mar 26 18:30:07 server sshd[32633]: Illegal user jane from ::ffff:211.185.230.66
Mar 26 18:30:10 server sshd[32645]: Illegal user pamela from ::ffff:211.185.230.66
Mar 26 18:30:28 server sshd[32698]: Illegal user cosmin from ::ffff:211.185.230.66
Mar 26 18:32:35 server sshd[589]: Illegal user cip52 from ::ffff:211.185.230.66
Mar 26 18:32:38 server sshd[601]: Illegal user cip51 from ::ffff:211.185.230.66
Mar 26 18:32:44 server sshd[615]: Illegal user noc from ::ffff:211.185.230.66
Mar 26 18:33:02 server sshd[674]: Illegal user webmaster from ::ffff:211.185.230.66
Mar 26 18:33:05 server sshd[685]: Illegal user data from ::ffff:211.185.230.66
Mar 26 18:33:09 server sshd[696]: Illegal user user from ::ffff:211.185.230.66
Mar 26 18:33:12 server sshd[702]: Illegal user user from ::ffff:211.185.230.66
Mar 26 18:33:15 server sshd[714]: Illegal user user from ::ffff:211.185.230.66
Mar 26 18:33:19 server sshd[725]: Illegal user web from ::ffff:211.185.230.66
Mar 26 18:33:23 server sshd[733]: Illegal user web from ::ffff:211.185.230.66
Mar 26 18:33:25 server sshd[745]: Illegal user oracle from ::ffff:211.185.230.66
Mar 26 18:33:29 server sshd[751]: Illegal user sybase from ::ffff:211.185.230.66
Mar 26 18:33:32 server sshd[764]: Illegal user master from ::ffff:211.185.230.66
Mar 26 18:33:35 server sshd[773]: Illegal user account from ::ffff:211.185.230.66
Mar 26 18:33:42 server sshd[791]: Illegal user server from ::ffff:211.185.230.66
Mar 26 18:33:45 server sshd[802]: Illegal user adam from ::ffff:211.185.230.66
Mar 26 18:33:47 server sshd[810]: Illegal user alan from ::ffff:211.185.230.66
Mar 26 18:33:51 server sshd[820]: Illegal user frank from ::ffff:211.185.230.66
Mar 26 18:33:54 server sshd[828]: Illegal user george from ::ffff:211.185.230.66
Mar 26 18:33:57 server sshd[843]: Illegal user henry from ::ffff:211.185.230.66
Mar 26 18:34:00 server sshd[849]: Illegal user john from ::ffff:211.185.230.66
Mar 26 18:34:18 server sshd[906]: Illegal user test from ::ffff:211.185.230.66

redrat · Beitrag von **redrat** » 26.03.2005 21:27:40

Sieht mir nach einer Brute-Force Attacke auf Deinen Rechner aus...

red

thorben · Beitrag von **thorben** » 26.03.2005 21:29:57

moin,
ist unspektakulär, passiert bei mir ca 200 bis 600 mal am tag...

gruß
thorben

DeletedUserReAsG · Beitrag von **DeletedUserReAsG** » 26.03.2005 21:34:06

Ist ein Wurm.

cu

sunghost · Beitrag von **sunghost** » 26.03.2005 21:43:34

und was genau, habt ihr da mehr ideen? zumal meine ports von außen dicht sind.

kellerpunk · Beitrag von **kellerpunk** » 26.03.2005 21:49:47

sunghost hat geschrieben:und was genau, habt ihr da mehr ideen? zumal meine ports von außen dicht sind.

jemand versucht alle möglichen user/passwort kombinationen auf deinem ssh auszuprobieren.

wenn direkter root-login verboten ist und du ein gutes kennwort hast uninteressant...

kann ich auch paar hundert am tag von bieten

sunghost · Beitrag von **sunghost** » 26.03.2005 22:15:05

das dachte ich mir auch, nur ich versteh es nicht denn der port 22 ist auf dem externen device dicht.

mludwig · Beitrag von **mludwig** » 26.03.2005 22:28:21

nun, scheinbar doch nicht. Überprüfe doch einfach von http://scan.sygatetech.com/probe.html aus,ob das auch stimmt ... nur um sicher zu gehen. Ansonsten ist vielleicht eine Firewallregel anzupassen. Man kann sshd auch an ein Interface binden, d. h. es geht zur Not auch ohne Firewallregel.

grüße
mludwig

sunghost · Beitrag von **sunghost** » 26.03.2005 22:35:08

danke für den tip, habe mir mein script nun nochmal angesehen und naja, genau, hatte ihn ja ausnahmsweise auf, damit ich von der firma rauf komme. nu isser wieder zu.

danke bin dennoch schlauer geworden, ist also ein wurm.

debianforum.de

hackversuch? kann mir den log jemand erklären?

hackversuch? kann mir den log jemand erklären?

mh

Re: mh

mh

supi