Hallo Leute, ich habe hier logwatch laufen, das sich netterweise durch meine Logs wühlt und besondere Vorkommnisse meldet. Unter anderem sowas auf meinen ssh-Port: Illegal users from these: admin/none from ::ffff:200.223.215.173: 2 Time(s) admin/none from unknown: 2 Time(s) admin/password from ::ffff:200.223.215.173: 2 Time(s) guest/none from ::ffff:200.223.215.173: 1 Time(s) guest/none from unknown: 1 Time(s) Was will mir das 'from unknown' sagen? Gibt es eine Technik, die IP-Adresse zu tarnen? Ich dachte immer, die müßte unbedingt bekannt sein? Oder verstehe ich die Logwatch-Ausgaben nicht? Sonst muß ich wohl selbst mal ins Firewall-Log gucken. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Am Montag, 20. September 2004 19:49 schrieb Helga Fischer:
Hallo Leute,
Hallo Helga,
ich habe hier logwatch laufen, das sich netterweise durch meine Logs wühlt und besondere Vorkommnisse meldet.
Unter anderem sowas auf meinen ssh-Port:
Illegal users from these: admin/none from ::ffff:200.223.215.173: 2 Time(s) admin/none from unknown: 2 Time(s) admin/password from ::ffff:200.223.215.173: 2 Time(s) guest/none from ::ffff:200.223.215.173: 1 Time(s) guest/none from unknown: 1 Time(s)
Was will mir das 'from unknown' sagen? Gibt es eine Technik, die IP-Adresse zu tarnen? Ich dachte immer, die müßte unbedingt bekannt sein? Oder verstehe ich die Logwatch-Ausgaben nicht? Sonst muß ich wohl selbst mal ins Firewall-Log gucken.
Ich denke das es wohl an der DNS- Auflösung liegt, weil -----8<----- geosch@gwydion:~> whois 200.223.215.173 Timeout. geosch@gwydion:~> host 200.223.215.173 Host 173.215.223.200.in-addr.arpa not found: 2(SERVFAIL) -----8<----- So long, George
Helga Fischer
Hallo Leute,
ich habe hier logwatch laufen, das sich netterweise durch meine Logs wühlt und besondere Vorkommnisse meldet.
Unter anderem sowas auf meinen ssh-Port:
Illegal users from these: admin/none from ::ffff:200.223.215.173: 2 Time(s) admin/none from unknown: 2 Time(s) admin/password from ::ffff:200.223.215.173: 2 Time(s) guest/none from ::ffff:200.223.215.173: 1 Time(s) guest/none from unknown: 1 Time(s)
Was will mir das 'from unknown' sagen? Gibt es eine Technik, die IP-Adresse zu tarnen? Ich dachte immer, die müßte unbedingt bekannt sein? Oder verstehe ich die Logwatch-Ausgaben nicht? Sonst muß ich wohl selbst mal ins Firewall-Log gucken.
Wenn ich das richtig interpretiere, sind das unvollständige IPv6 Adressen, das wird wohl in Zukunft zunehmen. :-( -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328
Helga Fischer wrote:
ich habe hier logwatch laufen, das sich netterweise durch meine Logs wühlt und besondere Vorkommnisse meldet.
Unter anderem sowas auf meinen ssh-Port:
Mhh. Also fuer mich sieht das so aus, als wollte sich jemand einloggen. Kann es sein, das du dich per dial-up ans netz anschliesst? Es ist gut moeglich, das du evtl. noch bei einem DDNS service eingetragen bist du jemand versucht sich einzuloggen - vielleicht ohne boese absicht. das mit dem guest wuerde mir aber zu denken geben. Evtl. solltest du deinen SSHD auf einen anderen port legen. ciao T
Hallo Thorsten, Am Dienstag 21 September 2004 07:27 schrieb Dr. Thorsten Brandau:
Helga Fischer wrote:
ich habe hier logwatch laufen, das sich netterweise durch meine Logs wühlt und besondere Vorkommnisse meldet.
Unter anderem sowas auf meinen ssh-Port:
Mhh. Also fuer mich sieht das so aus, als wollte sich jemand einloggen. Kann es sein, das du dich per dial-up ans netz anschliesst?
Ja, komplett richtig vermutet.
Es ist gut moeglich, das du evtl. noch bei einem DDNS service eingetragen bist du jemand versucht sich einzuloggen - vielleicht ohne boese absicht.
Naja, ich vermute eher einen Automatismus, weil eigentlich fast kein Tag vergeht, daß da irgendeiner aus China oder sonstwo anklopft. Der ssh-Port ist auf, weil ich halt gelegentlich mal die Linuxbox von außen her brauche und ein paar Erfahrungen mit Rechnern sammeln will, die so am Leben draußen teilnehmen. (root-Login ist unterbunden und die Passwörter machen auch keinen richtigen Spaß).
das mit dem guest wuerde mir aber zu denken geben. Evtl. solltest du deinen SSHD auf einen anderen port legen.
Irgendwann wird sicher auch dieser Port bemerkt, oder? Außerdem weiß ich nicht, ob es wirklich sinnvoll ist, einen Port 'verstecken' zu wollen. Außerdem sollte die Kiste das doch aushalten können, oder? Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Helga Fischer wrote:
Es ist gut moeglich, das du evtl. noch bei einem DDNS service eingetragen bist du jemand versucht sich einzuloggen - vielleicht ohne boese absicht.
Naja, ich vermute eher einen Automatismus, weil eigentlich fast kein Tag vergeht, daß da irgendeiner aus China oder sonstwo anklopft.
ne, das klingt nicht so.
Der ssh-Port ist auf, weil ich halt gelegentlich mal die Linuxbox von außen her brauche und ein paar Erfahrungen mit Rechnern sammeln will, die so am Leben draußen teilnehmen. (root-Login ist unterbunden und die Passwörter machen auch keinen richtigen Spaß).
Benoetigst du dazu ssh? Ist eventuell ein https oder ipsec zugang nicht besser? Wenn Du einen so gefaerdeten Rechner hast, wuerde ich "plain text" Passwoerte komplett verbieten und nur mit RSA logins arbeiten - dann kann geklopft werden wie will. Am besten alle nicht benutzten accounts mit der loginshell /bin/false versehen (z.B. mailaccounts).
das mit dem guest wuerde mir aber zu denken geben. Evtl. solltest du deinen SSHD auf einen anderen port legen.
Irgendwann wird sicher auch dieser Port bemerkt, oder? Außerdem weiß ich nicht, ob es wirklich sinnvoll ist, einen Port 'verstecken' zu wollen. Außerdem sollte die Kiste das doch aushalten können, oder?
Wenn Deine Passwoerter gut sind sicherlich. Ich wuerde trotzdem mal ueber RSA logins nachdenken (cygwin, putty mal als als loginalternative). Dann kann mit einem blossen Klartextpasswort nichts mehr passieren... Den Port zu verstecken macht nicht unbedingt sinn, es kommt halt drauf an wie "intelligent" das Skript gegenueber ist. Ciao T
Am Montag, 20. September 2004 19:49 schrieb Helga Fischer:
Hallo Leute,
ich habe hier logwatch laufen, das sich netterweise durch meine Logs wühlt und besondere Vorkommnisse meldet.
Unter anderem sowas auf meinen ssh-Port:
Illegal users from these: admin/none from ::ffff:200.223.215.173: 2 Time(s) admin/none from unknown: 2 Time(s) admin/password from ::ffff:200.223.215.173: 2 Time(s) guest/none from ::ffff:200.223.215.173: 1 Time(s) guest/none from unknown: 1 Time(s)
Was will mir das 'from unknown' sagen? Gibt es eine Technik, die IP-Adresse zu tarnen? Ja, die gibt es: "JAP" http://anon.inf.tu-dresden.de/
die haben es geschafft die ip zu verschlüsseln, wenn diese einmal verschlüsselt ist kann selbst die TU-dresden diese nicht mehr entschlüsseln. Jap bassiert auf Java und arbeitet über nen Proxy. Thomas
Ich dachte immer, die müßte unbedingt bekannt sein? Oder verstehe ich die Logwatch-Ausgaben nicht? Sonst muß ich wohl selbst mal ins Firewall-Log gucken.
Helga
-- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Am Dienstag, 21. September 2004 19:20 schrieb Thomas Leist:
Am Montag, 20. September 2004 19:49 schrieb Helga Fischer:
ich habe hier logwatch laufen, das sich netterweise durch meine Logs wühlt und besondere Vorkommnisse meldet.
Unter anderem sowas auf meinen ssh-Port:
Illegal users from these: admin/none from ::ffff:200.223.215.173: 2 Time(s) admin/none from unknown: 2 Time(s) admin/password from ::ffff:200.223.215.173: 2 Time(s) guest/none from ::ffff:200.223.215.173: 1 Time(s) guest/none from unknown: 1 Time(s)
Was will mir das 'from unknown' sagen? Gibt es eine Technik, die IP-Adresse zu tarnen?
Ja, die gibt es: "JAP" http://anon.inf.tu-dresden.de/
die haben es geschafft die ip zu verschlüsseln, wenn diese einmal verschlüsselt ist kann selbst die TU-dresden diese nicht mehr entschlüsseln. Jap bassiert auf Java und arbeitet über nen Proxy.
Dabei wird keine IP-Adresse verschlüsselt. Es wird nur die Herkunft der ürsprünglichen Anfrage verschleiert. Gruß Harald
Hallo, * On Tue, Sep 21, 2004 at 07:20 PM (+0200), Thomas Leist wrote:
Ja, die gibt es: "JAP" http://anon.inf.tu-dresden.de/
die haben es geschafft die ip zu verschlüsseln, wenn diese einmal verschlüsselt ist kann selbst die TU-dresden diese nicht mehr entschlüsseln.
Es wird dort keine IP-Adresse "verschlüsselt". Vielmehr besteht JAP aus einer verschlüsselten Verbindung zwischen Client und einem Proxy-Server sowie einer Kaskade weiterer Proxy-Server (Mixe), die die Anfragen der JAP-User zufällig "vermischen" und untereinander weiterleiten - bis zum Ende der Kaskade. Von dort aus geht es dann zum Webserver, auf den der Client zugreifen möchte (natürlich unverschlüsselt). Bei den ganzen Vorgängen wird ("im Normalfall") nicht mitgeloggt, sodass im Endeffekt nicht mehr nachvollzogen werden kann, welche Client-IP- Adresse welche Anfrage getätigt hat. "Im Normalfall" deshalb, weil JAP auch schon zum expliziten Schnüffeln gezwungen wurde. Die bei JAP eingesetzten Proxy-Server sind aber meines Wissens reine HTTP-Proxies, d.h., man kann darüber z.B. kein SSH fahren (klar, man könnte SSH wieder über HTTP tunneln, bräuchte dann aber einen ent- sprechenden Endpunkt, der es wieder auspackt). Auf jeden Fall haben wohl die von Helga entdeckten Logfile-Einträge damit nichts zu tun. Wäre JAP kein HTTP-Proxy, sondern eine Möglich- keit, auch anonymisierte SSH-Zugriffe durchzuleiten, dann hätte Helga wohl als IP-Adresse die Adresse eines JAP-Kaskaden-Endpunktes in ihren Logfiles gefunden "UNKNOWN".
Jap bassiert auf Java und arbeitet über nen Proxy.
Der JAP-Client ist in Java geschrieben, die Software, die die Mixe einsetzen, meines Wissens nicht. Ja, (HTTP-)Proxy-Server kommen zum Einsatz. Grüße, Steffen
participants (7)
-
Dieter Kluenter -
Dr. Thorsten Brandau -
Georg Schilling -
Harald_mail@t-online.de -
Helga Fischer -
Steffen Moser -
Thomas Leist