| View previous topic :: View next topic |
| Author |
Message |
Wormaus
Forum-Nutzer
Joined: 26 Jul 2001
Posts: 381
Location: Germany - Stroga / Großenhain
|
 Posted: 28.02.2007, 09:21 Post subject: !!! ACHTUNG, Serveratacke !!! auf DeepBlue-replacement !!! |
 |
|
... momentan von einem Server gehostet bei "ThePlanet"
vorher über dns-Proxies, kam er aber nicht weiter ...
Wer bei "ThePlanet seine Serverchen stehen hat ist klar ...
Atacke läuft heute von
"evls-67-15-58-58" ´(reversename=ein Host bei "ThePlanet" - vermutlich V-Server webaddi: http://www.ev1servers.net )
Diese "BruteForce-Atacken auf den SSH-Zugang laufen seit dem 25.FEB 2007.
_________________
Worm+Maus das bin ick, Wormaus. |
|
| Back to top |
|
 |
Munk
Forum-Nutzer
Joined: 30 Jun 2001
Posts: 2142
Location: München
|
| Posted: 28.02.2007, 09:28 Post subject: Re: !!! ACHTUNG, Serveratacke !!! auf DeepBlue-replacement ! |
|
|
| Wormaus wrote: | | Diese "BruteForce-Atacken auf den SSH-Zugang laufen seit dem 25.FEB 2007. |
Auch nur Brute-Force auf SSH-Zugänge ? Das haben wir bei uns auch mehrmals. Das sind Bot-Netze auf der Suche nach Futter.
Einfach dafür sorgen, daß eure Passwörter einen ausreichenden Vorrat an Zeichen benutzen, oder - vermutlich besser - eine Art Timeout für fehlgeschlagene SSH-Logins installieren.
(gibts bestimmt irgendwo)
|
|
| Back to top |
|
|
Wormaus
Forum-Nutzer
Joined: 26 Jul 2001
Posts: 381
Location: Germany - Stroga / Großenhain
|
| Posted: 28.02.2007, 09:51 Post subject: |
|
|
timeouts bekommt der ..
bot's würtde erklären, warum der nicht nur auf standardname und dann pass sucht, sondern viele usernamen beutzt
wird zeit, den SSH port wegnehmen ,dann is ruhe
_________________
Worm+Maus das bin ick, Wormaus. |
|
| Back to top |
|
|
Wormaus
Forum-Nutzer
Joined: 26 Jul 2001
Posts: 381
Location: Germany - Stroga / Großenhain
|
| Posted: 28.02.2007, 10:58 Post subject: |
|
|
OK, hab die Kiste erstmal dicht gemacht ...
das LogFile hatte schon einige MB ...
_________________
Worm+Maus das bin ick, Wormaus. |
|
| Back to top |
|
|
Wormaus
Forum-Nutzer
Joined: 26 Jul 2001
Posts: 381
Location: Germany - Stroga / Großenhain
|
| Posted: 28.02.2007, 15:52 Post subject: Re: !!! ACHTUNG, Serveratacke !!! auf DeepBlue-replacement ! |
|
|
| Munk wrote: |
Einfach dafür sorgen, daß eure Passwörter einen ausreichenden Vorrat an Zeichen benutzen, oder -
vermutlich besser - eine Art Timeout für fehlgeschlagene SSH-Logins installieren.
(gibts bestimmt irgendwo) |
Ahhm, Timeout hört sich gut an, dann kann vermutlich nicht nomal sowas massives wie heute Früh passieren.
Ich bin mit dem 8 MB !!! grossen LOG durch.
Haupt-"Atacke" fing heute früh gegen 01.30 an und ging none Stop bis ca. 08.45 Uhr, als ich den SSH-
Zugang dicht gemacht habe. (diese Atacke erzeugte etwa 3,5 MB Logfile!)
Vorrausgegangen war eine va. 10-minütige Atacke mit ca. 750 Versuchen über einen (vermutlich)
DNS-Proxy, wobei der Server die Verbindungsversuche jedoch strickt zurückgewiesen hatte, da
der "vorgegaukelte" Reverse-name nicht dem Reversenamen der anfragenden IP entsprach.
(denke ich mir zumindest bei Einträgen wie
"reverse mapping checking getaddrinfo for ip.ip.ip.ip.Servername.com failed - POSSIBLE BREAKIN ATTEMPT!"
Wobei von der IP aus gleichzeitig SSH-Login-Versuche stattfinden
_________________
Worm+Maus das bin ick, Wormaus. |
|
| Back to top |
|
|
Grendel
Forum-Nutzer
Joined: 24 Jun 2004
Posts: 208
Location: Oregon, USA
|
| Posted: 01.03.2007, 09:49 Post subject: Re: !!! ACHTUNG, Serveratacke !!! auf DeepBlue-replacement ! |
|
|
| Wormaus wrote: | | ... momentan von einem Server gehostet bei "ThePlanet" |
Huh, womit hast Du g8 veraergert ?
Last edited by Grendel on 01.03.2007, 09:49; edited 1 time in total |
|
| Back to top |
|
|
Ben
OOTS
Joined: 10 May 2002
Posts: 2884
Location: Aachen / D
|
| Posted: 01.03.2007, 10:46 Post subject: |
|
|
Die sind neidisch auf unsere MD und Laserwaffen... 
_________________
Erkenntnis:
Wer abends gesoffen hat, kann morgens auch arbeiten" = FALSCH
weil
"Man kann morgens auch nicht fliegen, bloß weil man abends gevögelt hat" |
|
| Back to top |
|
|
The Lion
Forum-Nutzer
Joined: 23 Jul 2006
Posts: 55
Location: The Netherlands
|
| Posted: 01.03.2007, 21:11 Post subject: |
|
|
"evls-67-15-58-58" looks totally different from g8.
_________________
☕ |
|
| Back to top |
|
|
Wormaus
Forum-Nutzer
Joined: 26 Jul 2001
Posts: 381
Location: Germany - Stroga / Großenhain
|
| Posted: 01.03.2007, 21:30 Post subject: |
|
|
Lion, you're right, ofcourse.
There are more then 1 user, who use a server.
but attacks on SSH over a timerange of more then 7 hours none stop, thats not normnal, tjats a pionted attack just to this server. (that is what i think)
The server still sometimes got SSH attacks from various hosts (almost known spam-server who want new brothers  ) This atacky have a timerange of 1 to 30 minutes ..., then they give up and try next IP / Server.
... btw: but i'm not really sure, if this was a pointed attack or (un)lucky 4 me. ...
... btw: "http://www.ev1servers.net" is a Part of "ThePlanet"
_________________
Worm+Maus das bin ick, Wormaus. |
|
| Back to top |
|
|
The Lion
Forum-Nutzer
Joined: 23 Jul 2006
Posts: 55
Location: The Netherlands
|
| Posted: 01.03.2007, 22:13 Post subject: |
|
|
How about disabling password logon and using a public/private key pair instead?
To disable password logins, set both "PasswordAuthentication" and
"ChallengeResponseAuthentication" to "no" in the config file
("man sshd_config" for more info).
To generate a key pair using OpenSSH, run "ssh-keygen".
With PuTTY, run "puttygen.exe".
Be careful not to lock yourself out of course. Make sure you can log in
using the private key before disabling password authentication.
Another option is to use port knocking.
Here's a simple port knocking daemon.
_________________
☕ |
|
| Back to top |
|
|
vinz
Forum-Nutzer
Joined: 18 Jul 2004
Posts: 463
Location: Leoben, Austria
|
|
| Back to top |
|
|
|
