ssh wurde gehackt

[Valdez]

Code: Alles auswählen

Jan 29 19:10:00 debian1 sshd[9412]: Invalid user wanker from 61.132.0.113
Jan 29 19:10:00 debian1 sshd[9412]: pam_unix(sshd:auth): check pass; user unknown
Jan 29 19:10:00 debian1 sshd[9412]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.132.0.113
Jan 29 19:10:02 debian1 sshd[9412]: Failed password for invalid user wanker from 61.132.0.113 port 53968 ssh2
Jan 29 19:10:05 debian1 sshd[9416]: Invalid user wayne from 61.132.0.113
Jan 29 19:10:05 debian1 sshd[9416]: pam_unix(sshd:auth): check pass; user unknown
Jan 29 19:10:05 debian1 sshd[9416]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.132.0.113
Jan 29 19:10:07 debian1 sshd[9416]: Failed password for invalid user wayne from 61.132.0.113 port 54423 ssh2
Jan 29 19:10:10 debian1 sshd[9418]: Invalid user watson from 61.132.0.113
Jan 29 19:10:10 debian1 sshd[9418]: pam_unix(sshd:auth): check pass; user unknown
Jan 29 19:10:10 debian1 sshd[9418]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.132.0.113
Jan 29 19:10:12 debian1 sshd[9418]: Failed password for invalid user watson from 61.132.0.113 port 54857 ssh2
Jan 29 19:10:15 debian1 sshd[9421]: Invalid user waterboy from 61.132.0.113
Jan 29 19:10:15 debian1 sshd[9421]: pam_unix(sshd:auth): check pass; user unknown
Jan 29 19:10:15 debian1 sshd[9421]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.132.0.113
Jan 29 19:10:17 debian1 sshd[9421]: Failed password for invalid user waterboy from 61.132.0.113 port 55277 ssh2
Jan 29 19:10:20 debian1 sshd[9423]: Invalid user weenie from 61.132.0.113
Jan 29 19:10:20 debian1 sshd[9423]: pam_unix(sshd:auth): check pass; user unknown
Jan 29 19:10:20 debian1 sshd[9423]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.132.0.113
Jan 29 19:10:22 debian1 sshd[9423]: Failed password for invalid user weenie from 61.132.0.113 port 55713 ssh2
Jan 29 19:10:25 debian1 sshd[9425]: Invalid user webster from 61.132.0.113
Jan 29 19:10:25 debian1 sshd[9425]: pam_unix(sshd:auth): check pass; user unknown
Jan 29 19:10:25 debian1 sshd[9425]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.132.0.113
Jan 29 19:10:27 debian1 sshd[9425]: Failed password for invalid user webster from 61.132.0.113 port 56139 ssh2
Jan 29 19:10:30 debian1 sshd[9427]: Invalid user willie from 61.132.0.113
Jan 29 19:10:30 debian1 sshd[9427]: pam_unix(sshd:auth): check pass; user unknown
Jan 29 19:10:30 debian1 sshd[9427]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.132.0.113
Jan 29 19:10:32 debian1 sshd[9427]: Failed password for invalid user willie from 61.132.0.113 port 56565 ssh2
Jan 29 19:10:35 debian1 sshd[9429]: Invalid user willow from 61.132.0.113
Jan 29 19:10:35 debian1 sshd[9429]: pam_unix(sshd:auth): check pass; user unknown
Jan 29 19:10:35 debian1 sshd[9429]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.132.0.113
Jan 29 19:10:38 debian1 sshd[9429]: Failed password for invalid user willow from 61.132.0.113 port 57054 ssh2
Jan 29 19:10:41 debian1 sshd[9432]: Invalid user willy from 61.132.0.113
Jan 29 19:10:41 debian1 sshd[9432]: pam_unix(sshd:auth): check pass; user unknown
Jan 29 19:10:41 debian1 sshd[9432]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.132.0.113
Jan 29 19:10:43 debian1 sshd[9432]: Failed password for invalid user willy from 61.132.0.113 port 57518 ssh2
Jan 29 19:10:46 debian1 sshd[9340]: Received signal 15; terminating.
Jan 29 19:10:46 debian1 sshd[9434]: Invalid user wilma from 61.132.0.113
Jan 29 19:10:46 debian1 sshd[9434]: pam_unix(sshd:auth): check pass; user unknown
Jan 29 19:10:46 debian1 sshd[9434]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.132.0.113
Jan 29 19:10:48 debian1 sshd[9434]: Failed password for invalid user wilma from 61.132.0.113 port 57991 ssh2
Jan 29 19:11:19 debian1 sshd[9458]: Server listening on 0.0.0.0 port 22.
Jan 29 19:11:19 debian1 sshd[9458]: Server listening on :: port 22.
Jan 29 19:11:22 debian1 sshd[9464]: Invalid user julie from 61.132.0.113
Jan 29 19:11:22 debian1 sshd[9464]: pam_unix(sshd:auth): check pass; user unknown
Jan 29 19:10:41 debian1 sshd[9432]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.132.0.113
Jan 29 19:10:43 debian1 sshd[9432]: Failed password for invalid user willy from 61.132.0.113 port 57518 ssh2
Jan 29 19:10:46 debian1 sshd[9340]: Received signal 15; terminating.
Jan 29 19:10:46 debian1 sshd[9434]: Invalid user wilma from 61.132.0.113
Jan 29 19:10:46 debian1 sshd[9434]: pam_unix(sshd:auth): check pass; user unknown
Jan 29 19:10:46 debian1 sshd[9434]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.132.0.113
Jan 29 19:10:48 debian1 sshd[9434]: Failed password for invalid user wilma from 61.132.0.113 port 57991 ssh2
Jan 29 19:11:19 debian1 sshd[9458]: Server listening on 0.0.0.0 port 22.
Jan 29 19:11:19 debian1 sshd[9458]: Server listening on :: port 22.
Jan 29 19:11:22 debian1 sshd[9464]: Invalid user julie from 61.132.0.113
Jan 29 19:11:22 debian1 sshd[9464]: pam_unix(sshd:auth): check pass; user unknown
Jan 29 19:11:22 debian1 sshd[9464]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.132.0.113
Jan 29 19:11:24 debian1 sshd[9464]: Failed password for invalid user julie from 61.132.0.113 port 61123 ssh2
Jan 29 19:11:27 debian1 sshd[9466]: Invalid user kramer from 61.132.0.113
Jan 29 19:11:27 debian1 sshd[9466]: pam_unix(sshd:auth): check pass; user unknown
Jan 29 19:11:27 debian1 sshd[9466]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.132.0.113
Jan 29 19:11:29 debian1 sshd[9466]: Failed password for invalid user kramer from 61.132.0.113 port 61594 ssh2
Jan 29 19:11:32 debian1 sshd[9471]: Invalid user webster from 61.132.0.113
Jan 29 19:11:32 debian1 sshd[9471]: pam_unix(sshd:auth): check pass; user unknown
Jan 29 19:11:32 debian1 sshd[9471]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.132.0.113
Jan 29 19:11:34 debian1 sshd[9471]: Failed password for invalid user webster from 61.132.0.113 port 62057 ssh2
Jan 29 19:11:38 debian1 sshd[9473]: Invalid user cycle from 61.132.0.113
Jan 29 19:11:38 debian1 sshd[9473]: pam_unix(sshd:auth): check pass; user unknown
Jan 29 19:11:38 debian1 sshd[9473]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.132.0.113
Jan 29 19:11:40 debian1 sshd[9473]: Failed password for invalid user cycle from 61.132.0.113 port 62495 ssh2
Jan 29 19:11:43 debian1 sshd[9475]: Invalid user doctor from 61.132.0.113
Jan 29 19:11:43 debian1 sshd[9475]: pam_unix(sshd:auth): check pass; user unknown
Jan 29 19:11:43 debian1 sshd[9475]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.132.0.113
Jan 29 19:11:45 debian1 sshd[9475]: Failed password for invalid user doctor from 61.132.0.113 port 62948 ssh2
Jan 29 19:11:48 debian1 sshd[9478]: Invalid user paul from 61.132.0.113
Jan 29 19:11:48 debian1 sshd[9478]: pam_unix(sshd:auth): check pass; user unknown
Jan 29 19:11:48 debian1 sshd[9478]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.132.0.113
Jan 29 19:11:50 debian1 sshd[9458]: Received signal 15; terminating.
Jan 29 19:11:50 debian1 sshd[9478]: Failed password for invalid user paul from 61.132.0.113 port 9524 ssh2
Jan 29 19:17:01 debian1 CRON[9628]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 29 19:17:01 debian1 CRON[9628]: pam_unix(cron:session): session closed for user root
Jan 29 19:18:19 debian1 su[9653]: pam_unix(su:auth): authentication failure; logname=moron uid=1000 euid=0 tty=/dev/pts/0 ruser=moron rhost=  user=root
Jan 29 19:18:21 debian1 su[9653]: pam_authenticate: Authentication failure
                                                                                                                          

Code: Alles auswählen

debian1:/home/ff# netstat -t
Aktive Internetverbindungen (ohne Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 192.168.1.103:59760     61.132.0.113:ssh        VERBUNDEN  
tcp        0      0 192.168.1.103:ftp       88.231.172.46:50185     VERBUNDEN  
tcp        0      0 192.168.1.103:62312     88.231.172.46:50186     TIME_WAIT  
tcp        0     68 192.168.1.103:ssh       61.132.0.113:48165      VERBUNDEN  
debian1:/home/ff# 

Code: Alles auswählen

debian1:/home/moron/Desktop/medusa# traceroute 61.132.0.113
traceroute to 61.132.0.113 (61.132.0.113), 30 hops max, 60 byte packets
 1  192.168.1.1 (192.168.1.1)  0.557 ms  1.436 ms  1.703 ms
 2  10.109.56.1 (10.109.56.1)  7.623 ms  9.308 ms  9.533 ms
 3  172.16.100.1 (172.16.100.1)  10.707 ms  10.938 ms  11.021 ms
 4  at-vie15a-rd1-ae3.aorta.net (213.46.173.165)  23.890 ms  24.117 ms  24.206 ms
 5  uk-lon01a-rd3-ge-0-0-0.aorta.net (84.116.130.253)  49.765 ms uk-lon01a-rd3-gi-1-0-0.aorta.net (213.46.160.201)  50.064 ms uk-lon01a-rd3-ge-0-0-0.aorta.net (84.116.130.253)  52.843 ms
 6  us-nyc01b-rd1-pos-10-0.aorta.net (213.46.160.154)  120.836 ms  117.349 ms us-nyc01b-rd1-pos-12-0.aorta.net (213.46.160.242)  117.120 ms
 7  us-sjo01a-ri2-gi-3-0-0.aorta.net (213.46.190.102)  187.175 ms  184.454 ms  184.434 ms
 8  213-46-190-206.aorta.net (213.46.190.206)  185.856 ms  185.015 ms  185.181 ms
 9  202.97.50.73 (202.97.50.73)  185.339 ms  184.670 ms  183.487 ms
10  202.97.51.145 (202.97.51.145)  365.988 ms  366.200 ms  366.290 ms
11  202.97.34.97 (202.97.34.97)  386.586 ms  442.512 ms  442.653 ms
12  202.97.35.109 (202.97.35.109)  370.867 ms  366.444 ms  369.094 ms
13  202.97.39.114 (202.97.39.114)  368.573 ms  368.961 ms  368.737 ms
14  61.177.160.254 (61.177.160.254)  377.023 ms  376.085 ms  375.855 ms
15  61.177.160.138 (61.177.160.138)  383.522 ms  378.772 ms  378.034 ms
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *
debian1:/home/moron/Desktop/medusa#

Code: Alles auswählen

debian1:/home/moron/Desktop/medusa# whois 61.132.0.113
% [whois.apnic.net node-3]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      61.132.0.0 - 61.132.0.127
netname:      LIANYUNGANG-EURO-ASIAN-TRADE-LTD
descr:        Lianyungang Euro-asia Continent Bridge
descr:        Lianyungang City
descr:        Jiangsu Province
country:      CN
admin-c:      CH451-AP
tech-c:       WW302-AP
changed:      ip@jsinfo.net 20000310
status:       ASSIGNED NON-PORTABLE
mnt-by:       MAINT-CHINANET-JS-LYG
source:       APNIC

route:        61.132.0.0/17
descr:        CHINANET jiangsu province network
country:      CN
origin:       AS23650
mnt-by:       MAINT-CHINANET-JS
changed:      ip@jsinfo.net 20030414
source:       APNIC

person:       CHINANET-JS-LYG Hostmaster
address:      No.1,South Road,LYG 222004
country:      CN
phone:        +86-518-5410055
fax-no:       +86-518-5512612
e-mail:       iplyg@pub.lyg.jsinfo.net
nic-hdl:      CH451-AP
remarks:      send anti-spam or abuse reports to abuse@public.lyg.js.cn
remarks:      or abuse@pub.lyg.jsinfo.net
remarks:      times in GMT+8
mnt-by:       MAINT-CHINANET-JS-LYG
changed:      ip@jsinfo.net 20021213
source:       APNIC

person:       WU WEI
nic-hdl:      WW302-AP
e-mail:       zyjlyg@public.lyg.js.cn
address:      28# haitangzhong road, lianyungang
phone:        +86-518-2321006
country:      CN
changed:      ip@jsinfo.net 20000310
mnt-by:       MAINT-CHINANET-JS-LYG
source:       APNIC


debian1:/home/moron/Desktop/medusa#

das heißt geschafft auch schon "verbunden"

ich habe bei meinem router die ssh portforwarding gelöscht und mein pw auf dem router und debian sys geändert.

was kann ich noch aller machen ?

wie vorgehen ?

danke

[michaels]

Vielleicht bin ich blind, aber wo siehst du denn da bitte einen erfolgreichen Zugriff?

Ich sehe nur jede Menge versuche und fehlerhafte Anmeldungen. Warum leitest du auch Port 22 von deinem Router auf Port 22 auf dem PC? Ist doch klar, das da dauernd Anmeldeversuche kommen...

[Valdez]

hier sehe ich das

Code: Alles auswählen

netstat -t
Proto Recv-Q Send-Q Local Address           Foreign Address         State

tcp        0      0 192.168.1.103:59760     61.132.0.113:ssh        VERBUNDEN  

ja port usw lass ich eh nimmer offen

[michaels]

hier sehe ich das

Code: Alles auswählen

netstat -t
Proto Recv-Q Send-Q Local Address           Foreign Address         State

tcp        0      0 192.168.1.103:59760     61.132.0.113:ssh        VERBUNDEN  

ja port usw lass ich eh nimmer offen

NEIN, tust du nicht!
Das ist nur eine TCP-Verbindung die hergestellt wurde, das heißt noch lange nicht, das die Anmeldung auch geklappt hat. Alle Anmeldeversuche liefen doch ins leere...

Packe den SSH Port doch einfach auf deinem Router auf einen anderen Port.

Mach mal 10 SSH Verbindungen zu deinem Rechner auf (nicht anmelden nur Verbindung aufbauen) und schau dir mal die netstat Ausgabe an. Dann wirst du dort 10 Zeilen mit SSH sehen

[Valdez]

ja mein fehler war das ich in der auth.log meinen eigenen erfolgreichen (ssh) anmeldeversuch mit der genannten ip verwechselt habe
danke für die aufklärung, ich glaube ich werde einfach python lernen anfangen =)

thx

[feltel]

@Valdez: Das nächste mal bitte http://nopaste.debianforum.de für Deine Logs verwenden

[Valdez]

roger that =)

[Felis]

Am Besten auch Anmeldung mit Passwort einfach verbieten. Nur noch mit oeffentlichem Schluessel.
"ssh-keygen -t rsa" (als User!!) auf dem Rechner der sich per SSH einloggen soll. Erzeugt einen Schluessel in ~/.ssh/id_rsa.pub. Diesen Schluessel kopierst du (als User!!) im einzuloggenden Rechner per "echo Schluessel > /home/dein_user/.ssh/authorized_keys ein. Schon kann nur dieser Rechner einloggen. Das kannst Du fuer andere Rechner natuerlich auch noch ausfuehren.
Die Aenderung, dass Einloggen mit Passwort verboten ist, fuehrst in /etc/ssh/sshd_config aus.

Code: Alles auswählen

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

In diesem File kannst auch den Port auf einen x-beliebigen, z.B. 45692 aendern, und Root-Login auch gleich verbieten!!

[pluvo]

Hi!

Diesen Schluessel kopierst du (als User!!) im einzuloggenden Rechner per "echo Schluessel > /home/dein_user/.ssh/authorized_keys ein.

Das geht auch so:

Code: Alles auswählen

ssh-copy-id -i ~/.ssh/id_rsa.pub USERNAME@ZIELRECHNER

mfg pluvo

[Felis]

SSH-COPY-ID(1) SSH-COPY-ID(1)

NAME
ssh-copy-id - install your public key in a remote machine’s authorized_keys

man lernt nie aus...

[mR. bluE]

Packe den SSH Port doch einfach auf deinem Router auf einen anderen Port.

oder gleich auf nem anderen Port horchen lassen, simpel einzustellen in der betreffenden Config > /etc/ssh/sshd_config
am besten einfachmal n biserl lesen: http://www.heise.de/security/artikel/SS ... 70140.html
Mit nem anderen port und pub key verfahren ist schon viel getan, meiner Meinung nach

[Duff]

Veilleicht in diesem Zusammenhang auch ganz interessant [1]

[1] iptables+hashlimit

[ricy1974]

Hi,
kennst Du fail2ban?

--> Funzt so: Nach Eingabe 3x falscher Anmeldung (egal welcher Benutzer) wird die IP des Angreifers für (einstellbar) z.B. 10 min. geblockt.
Das macht den Angriff uninteressant.

Anleitung siehe hier:

http://www.linuxforen.de/forums/showthread.php?t=201694

lg
ricy.

[Danielx]

--> Funzt so: Nach Eingabe 3x falscher Anmeldung (egal welcher Benutzer) wird die IP des Angreifers für (einstellbar) z.B. 10 min. geblockt.
Das macht den Angriff uninteressant.

Es sei denn, man bekommt es mit einem Botnetz zu tun.

Gruß,
Daniel