Fremde Login-Versuche per ssh...
Hallo, seit geraumer Zeit versucht sich immer wieder jemand per ssh auf meinem Linux-Server einzuloggen. In /var/log/messages tauchen folgende Einträge auf: Mar 20 17:11:03 mcsrv03 sshd[16749]: Did not receive identification string from ::ffff:69.44.153.103 Mar 20 17:30:54 mcsrv03 sshd[16790]: Invalid user patrick from ::ffff:69.44.153.103 Mar 20 17:30:55 mcsrv03 sshd[16792]: Invalid user patrick from ::ffff:69.44.153.103 Mar 20 17:31:03 mcsrv03 sshd[16804]: Invalid user rolo from ::ffff:69.44.153.103 Mar 20 17:31:04 mcsrv03 sshd[16806]: Invalid user iceuser from ::ffff:69.44.153.103 Mar 20 17:31:05 mcsrv03 sshd[16808]: Invalid user horde from ::ffff:69.44.153.103 Mar 20 17:31:06 mcsrv03 sshd[16810]: Invalid user cyrus from ::ffff:69.44.153.103 Mar 20 17:31:08 mcsrv03 sshd[16812]: Invalid user www from ::ffff:69.44.153.103 Mar 20 17:31:10 mcsrv03 sshd[16816]: Invalid user matt from ::ffff:69.44.153.103 Mar 20 17:31:12 mcsrv03 sshd[16818]: Invalid user test from ::ffff:69.44.153.103 [...] Eigentlich war ich der Meinung, dass ich den ssh-Server so konfiguriert hätte, dass man sich nur per Zertifikat einloggen kann - offenbar ist dem aber nicht so, oder sehe ich das falsch? Wie muss ich die sshd_config abändern, sodass man sich nur noch per Zertifikat anmelden kann (vielleicht habe ich in meiner Konfiguration ja etwas vergessen)? Viele Grüsse - Stephan
Hallo, Am Montag, 21. März 2005 11:02 schrieb Stephan Huber:
Hallo,
seit geraumer Zeit versucht sich immer wieder jemand per ssh auf meinem Linux-Server einzuloggen. In /var/log/messages tauchen folgende Einträge auf:
Mar 20 17:11:03 mcsrv03 sshd[16749]: Did not receive identification string from ::ffff:69.44.153.103 Mar 20 17:30:54 mcsrv03 sshd[16790]: Invalid user patrick from ::ffff:69.44.153.103 Mar 20 17:30:55 mcsrv03 sshd[16792]: Invalid user patrick from ::ffff:69.44.153.103 Mar 20 17:31:03 mcsrv03 sshd[16804]: Invalid user rolo from ::ffff:69.44.153.103 Mar 20 17:31:04 mcsrv03 sshd[16806]: Invalid user iceuser from ::ffff:69.44.153.103 Mar 20 17:31:05 mcsrv03 sshd[16808]: Invalid user horde from ::ffff:69.44.153.103 Mar 20 17:31:06 mcsrv03 sshd[16810]: Invalid user cyrus from ::ffff:69.44.153.103 Mar 20 17:31:08 mcsrv03 sshd[16812]: Invalid user www from ::ffff:69.44.153.103 Mar 20 17:31:10 mcsrv03 sshd[16816]: Invalid user matt from ::ffff:69.44.153.103 Mar 20 17:31:12 mcsrv03 sshd[16818]: Invalid user test from ::ffff:69.44.153.103
[...]
Eigentlich war ich der Meinung, dass ich den ssh-Server so konfiguriert hätte, dass man sich nur per Zertifikat einloggen kann - offenbar ist dem aber nicht so, oder sehe ich das falsch?
Hmm, ich weiss nicht genau, ob das nicht einfach nur die Meldungen sind, dass sich ein Benutzer, der auf dem System nicht vorhanden ist, versucht hat, einzuloggen - erstmal unabhängig davon, ob und wie der sich authentifiziert.
Wie muss ich die sshd_config abändern, sodass man sich nur noch per Zertifikat anmelden kann (vielleicht habe ich in meiner Konfiguration ja etwas vergessen)?
Die wichtigen Einstellungen sind: RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys (die drei Einträge sollten Default sein) PasswordAuthentication no ChallengeResponseAuthentication no HTH, Anke -- Think before you ...
Am Mo, den 21.03.2005 schrieb Anke Börnig um 11:34:
Am Montag, 21. März 2005 11:02 schrieb Stephan Huber:
seit geraumer Zeit versucht sich immer wieder jemand per ssh auf meinem Linux-Server einzuloggen. In /var/log/messages tauchen folgende Einträge auf:
[...]
Eigentlich war ich der Meinung, dass ich den ssh-Server so konfiguriert hätte, dass man sich nur per Zertifikat einloggen kann - offenbar ist dem aber nicht so, oder sehe ich das falsch?
Hmm, ich weiss nicht genau, ob das nicht einfach nur die Meldungen sind, dass sich ein Benutzer, der auf dem System nicht vorhanden ist, versucht hat, einzuloggen - erstmal unabhängig davon, ob und wie der sich authentifiziert.
Bekomme ich jeden morgen auch via Mail von meinem Server zugestellt. --------------------- SSHD Begin ------------------------ Failed logins from these: admin/password from 217.219.8.100: 1 Time(s) daemon/password from 217.219.8.100: 1 Time(s) root/password from 217.219.8.100: 25 Time(s) **Unmatched Entries** input_userauth_request: illegal user admin ---------------------- SSHD End ------------------------- Da hatte ein Iraner ein bissel Langeweile. ;) Bye Michael -- Windows is a pane in the ASCII. ________________________________________________________________________ http://macbyte.info/ ICQ #151172379 http://dattuxi.de/
Solche Login-Versuche sind ganz normal im Internet. Es gibt tausende gelangweilter User im Internet, die versuchen auf mehr oder weniger intelligente Weise in fremde Rechner einzudringen und das kann man eben zum Beispiel mit ssh. Auch ich bekomme öfters solche Login-Versuche (auch Portscans sind oft vertreten ) und mich stören die eigentlich nicht. Wenn dich diese Login-Versuche stören kannst du höchtens beim für die IP-Adressen der Angreifer zuständigen Provider nachfragen ob die da was machen können.
Marcel Reckers schrieb:
Solche Login-Versuche sind ganz normal im Internet. Es gibt tausende gelangweilter User im Internet, die versuchen auf mehr oder weniger intelligente Weise in fremde Rechner einzudringen und das kann man eben zum Beispiel mit ssh. Auch ich bekomme öfters solche Login-Versuche (auch Portscans sind oft vertreten ) und mich stören die eigentlich nicht.
schliess ich mich auch an, bemme davon auch sehr viele attacks. Habe aber den ssh server auf max 5 Versuche eingestellt, und bei 16 selligen Passwörtern schafft man das nicht mit 5 Versuchen. Ich würde mir da erstmal keine Gedanken drüber machen wenn du *sichere Passwörter *hast.
Wenn dich diese Login-Versuche stören kannst du höchtens beim für die IP-Adressen der Angreifer zuständigen Provider nachfragen ob die da was machen können.
Ist nur teuer und umständlich und man braucht die host (irgendwas@dip.t-online.de z.B.) die IP und die genau sekunden genaue Uhrzeit und die machen auch nur dann was wenn ein Ernthafter Schaden passiert ist. greetz carsten
Hallo,
wie stellt man den sshd auf max 5 versuche ein?
Mit freundlichen Grüßen
A.Gegner
Carsten Ferdian
Solche Login-Versuche sind ganz normal im Internet. Es gibt tausende gelangweilter User im Internet, die versuchen auf mehr oder weniger intelligente Weise in fremde Rechner einzudringen und das kann man eben zum Beispiel mit ssh. Auch ich bekomme öfters solche Login-Versuche (auch Portscans sind oft vertreten ) und mich stören die eigentlich nicht.
schliess ich mich auch an, bemme davon auch sehr viele attacks. Habe aber den ssh server auf max 5 Versuche eingestellt, und bei 16 selligen Passwörtern schafft man das nicht mit 5 Versuchen. Ich würde mir da erstmal keine Gedanken drüber machen wenn du *sichere Passwörter *hast.
Wenn dich diese Login-Versuche stören kannst du höchtens beim für die IP-Adressen der Angreifer zuständigen Provider nachfragen ob die da was machen können.
Ist nur teuer und umständlich und man braucht die host (irgendwas@dip.t-online.de z.B.) die IP und die genau sekunden genaue Uhrzeit und die machen auch nur dann was wenn ein Ernthafter Schaden passiert ist. greetz carsten -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Am Montag, den 21.03.2005, 12:26 +0100 schrieb age@ifak-system.com:
Hallo,
wie stellt man den sshd auf max 5 versuche ein?
Mit freundlichen Grüßen
A.Gegner
Hallo A.Gegner, bitte lesen und Mühe geben: http://learn.to/quote dank und Gruß Daniel
Am Mo, den 21.03.2005 schrieb Marcel Reckers um 12:13:
Wenn dich diese Login-Versuche stören kannst du höchtens beim für die IP-Adressen der Angreifer zuständigen Provider nachfragen ob die da was machen können.
Mich stören diese Loginversuche nicht. Aber man sieht da ganz deutlich, das die Leutz vermuten, das einige Leutz ihren Server nicht gescheit einrichten. Denn die gemeldeten Versuche lassen vermuten, das die schon erfolgreichen waren. Bye Michael -- Toleranz kann man von den Rauchern lernen. Es hat sich noch nie ein Raucher ber einen Nichtraucher beschwert. ________________________________________________________________________ http://macbyte.info/ ICQ #151172379 http://dattuxi.de/
Michael Raab schrieb:
Am Mo, den 21.03.2005 schrieb Marcel Reckers um 12:13:
Wenn dich diese Login-Versuche stören kannst du höchtens beim für die IP-Adressen der Angreifer zuständigen Provider nachfragen ob die da was machen können.
Mich stören diese Loginversuche nicht. Aber man sieht da ganz deutlich, das die Leutz vermuten, das einige Leutz ihren Server nicht gescheit einrichten. Denn die gemeldeten Versuche lassen vermuten, das die schon erfolgreichen waren.
Bye Michael
klar lässt darauf basierend schliessen das manche ihren Server nicht richtig absichern aber das liegt auch an den Nutzern zum Teil, wenn ich immer wieder die "intiligenten" Passwörter sehe da schlag ich die Hände überm kopf zusammen hab mitlerweile ne Regel eingeführt das im Passwort mindestens 2 Zahlen und 2 Sonderzeichen vorkommen müssen und das Passwort mindestens 10 Zeichen betragen muss. So kann man dann auch nen System sicher machen. Und User/Passwortlisten bekommste schnell im Internet was natürlich ein gefundenes Fressen für die Scriptkiddys is :) ach dem Motto "Wir hacken jetzt nen Server" Den sshd kannste über webmin gut einrichten und es funktioniert auch nach 5 falschen Logins fliegste ausm Logon raus. greetz carsten
Am Montag, 21. März 2005 11:45 schrieb Michael Raab:
Bekomme ich jeden morgen auch via Mail von meinem Server zugestellt.
--------------------- SSHD Begin ------------------------ Failed logins from these: admin/password from 217.219.8.100: 1 Time(s) daemon/password from 217.219.8.100: 1 Time(s) root/password from 217.219.8.100: 25 Time(s)
**Unmatched Entries** input_userauth_request: illegal user admin ---------------------- SSHD End -------------------------
wie, d.h. mit welchem Tool, bekommt man denn eine so schöne Ausgabe? Danke&Bye Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 9204871 Fax: +49(721) 24874 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer
Am Mo, den 21.03.2005 schrieb Dr. Jürgen Vollmer um 17:47:
Am Montag, 21. März 2005 11:45 schrieb Michael Raab:
Bekomme ich jeden morgen auch via Mail von meinem Server zugestellt.
--------------------- SSHD Begin ------------------------ Failed logins from these: admin/password from 217.219.8.100: 1 Time(s) daemon/password from 217.219.8.100: 1 Time(s) root/password from 217.219.8.100: 25 Time(s)
**Unmatched Entries** input_userauth_request: illegal user admin ---------------------- SSHD End -------------------------
wie, d.h. mit welchem Tool, bekommt man denn eine so schöne Ausgabe?
Bei Redhat nennt sich das LogWatch, was täglich ausgeführt wird. Bye Michael -- The Magic of Windows: Turns a 486 back into a PC/XT. ________________________________________________________________________ http://macbyte.info/ ICQ #151172379 http://dattuxi.de/
Am Montag 21 März 2005 20:37 schrieb Michael Raab:
Am Mo, den 21.03.2005 schrieb Dr. Jürgen Vollmer um 17:47:
Am Montag, 21. März 2005 11:45 schrieb Michael Raab:
Bekomme ich jeden morgen auch via Mail von meinem Server zugestellt.
--------------------- SSHD Begin ------------------------ Failed logins from these: admin/password from 217.219.8.100: 1 Time(s) daemon/password from 217.219.8.100: 1 Time(s) root/password from 217.219.8.100: 25 Time(s)
**Unmatched Entries** input_userauth_request: illegal user admin ---------------------- SSHD End -------------------------
wie, d.h. mit welchem Tool, bekommt man denn eine so schöne Ausgabe?
Bei Redhat nennt sich das LogWatch, was täglich ausgeführt wird.
Es gibt auch ein distributions-unabhängiges rpm. Das läuft bestens unter SuSE, ein einigermaßen aktuelles Perl vorausgesetzt. SuSE liefert das Tool nicht mit, auch nicht auf DVD. logwatch: http://www2.logwatch.org:81/tabs/download/ Helga
participants (9)
-
age@ifak-system.com
-
Anke Börnig
-
Carsten Ferdian
-
Daniel Hanke
-
Dr. Jürgen Vollmer
-
Helga Fischer
-
Marcel Reckers
-
Michael Raab
-
Stephan Huber