bruteforce attacke?

shady^^ · Beitrag von **shady^^** » 07.05.2006 17:24:45

hallo ich habe heute mal in meinen logs rumgeschnüffelt und habe dort das hier entdeckt
kann das sein das es eien bruteforce attacke war?
mfg shady

/edit von meandtheshell
Grund: code in code tags verbannt

Code: Alles auswählen

Invalid user sales from 222.141.66.177
May  7 12:19:49 83-142-85-18 sshd[6143]: Invalid user recruit from 222.141.66.177
May  7 12:19:53 83-142-85-18 sshd[6145]: Invalid user alias from 222.141.66.177
May  7 12:19:57 83-142-85-18 sshd[6147]: Invalid user office from 222.141.66.177
May  7 12:20:00 83-142-85-18 sshd[6149]: Invalid user samba from 222.141.66.177
May  7 12:20:04 83-142-85-18 sshd[6151]: Invalid user tomcat from 222.141.66.177
May  7 12:20:07 83-142-85-18 sshd[6153]: Invalid user webadmin from 222.141.66.177
May  7 12:20:11 83-142-85-18 sshd[6155]: Invalid user spam from 222.141.66.177
May  7 12:20:15 83-142-85-18 sshd[6157]: Invalid user virus from 222.141.66.177
May  7 12:20:18 83-142-85-18 sshd[6159]: Invalid user cyrus from 222.141.66.177

und so weiter........

Beitrag von **feltel** » 07.05.2006 17:32:55

Das sind automatisierte "Angriffe", wie sie aber leider normal im Serverbetrieb sind. Dagegen kann man sich aber wehren, z.B. mit https://www.debianforum.de/forum/viewto ... =denyhosts

shady^^ · Beitrag von **shady^^** » 07.05.2006 17:39:50

und welche leute/rechner machen solche automatisierten angriffe?
der root is erst 1 monat on

meandtheshell · Beitrag von **meandtheshell** » 07.05.2006 17:44:25

shady^^ hat geschrieben:und welche leute/rechner machen solche automatisierten angriffe?

LOL - kennst du Sigmund Freud

nixLOL - das einzig richtige ist deinen Rechner "sicher" zu machen. Auf den Rest hast du keinen Einfluß. Auch der Sigmund nicht.

markus

Spasswolf · Beitrag von **Spasswolf** » 07.05.2006 17:47:28

Hab gerade was ähnliches gefunden

Code: Alles auswählen

May  7 17:24:34 localhost sshd[9241]: Invalid user ss from 219.84.103.57
May  7 17:24:38 localhost sshd[9244]: Invalid user tt from 219.84.103.57
May  7 17:24:42 localhost sshd[9247]: Invalid user uu from 219.84.103.57
May  7 17:24:46 localhost sshd[9250]: Invalid user vv from 219.84.103.57
May  7 17:24:50 localhost sshd[9253]: Invalid user ww from 219.84.103.57
May  7 17:24:54 localhost sshd[9255]: Invalid user xx from 219.84.103.57
May  7 17:24:58 localhost sshd[9258]: Invalid user yy from 219.84.103.57
May  7 17:25:02 localhost sshd[9261]: Invalid user zz from 219.84.103.57

Man beachte die kreativen Usernamen.

DeletedUserReAsG · Beitrag von **DeletedUserReAsG** » 07.05.2006 17:47:35

Einfachste Möglichkeit, falls die Logfileeinträge nerven: sshd auf anderem Port lauschen lassen.

Sicher konfiguriert sollte das trotzdem sein (also keine Passwörter und keinen Rootlogin zulassen usw.)

cu

meandtheshell · Beitrag von **meandtheshell** » 07.05.2006 17:50:14

Die beiden code snippets zeigen das immer die gleiche IP verw. wird. Das kriegt man mit fail2ban schon in den Griff. Siehe Link von feltel.

markus

shady^^ · Beitrag von **shady^^** » 07.05.2006 19:57:51

ok danke

debianforum.de

bruteforce attacke?

bruteforce attacke?

mh?

Re: mh?

h