Mailinglist Archive: opensuse-de (5482 mails)

< Previous Next >
argl, einbruchsversuch
  • From: Martin Borchert <martin.borchert@xxxxxx>(by way of Martin Borchert <martin.borchert@xxxxxx>) (by way of Martin Borchert <martin.borchert@xxxxxx>)
  • Date: Thu, 1 Feb 2001 14:38:39 +0100
  • Message-id: <0102011438390C.11915@lothar>
Hallo liebe Liste,

folgendes fand ich gestern in /var/log/messages:

- ----------------------------------------------------------
Jan 31 20:50:56 lothar in.ftpd[12029]: connect from sgjhqoft@xxxxxxxxxxxxxxx
(136.159.150.165)
[...]
Jan 31 20:50:57 lothar ftpd[12029]: lothar.local FTP server (Version
6.4/OpenBSD/Linux-ftpd-0.16) ready.
Jan 31 20:51:00 lothar ftpd[12029]: <--- 221
Jan 31 20:51:00 lothar ftpd[12029]: You could at least say goodbye.
- ----------------------------------------------------------

Hat da einer meinen ftp-port gescannt?
Ok, damit könnte ich ja noch leben. aber jetzt kommts:

- ----------------------------------------------------------
Jan 31 21:31:00 lothar in.telnetd[12248]: connect from 62.226.75.184
(62.226.75.184)
Jan 31 21:31:00 lothar telnetd[12248]: ttloop: peer died: EOF
Jan 31 21:32:09 lothar in.telnetd[12249]: connect from 62.226.75.184
(62.226.75.184)
Jan 31 21:33:43 lothar in.telnetd[12251]: connect from 62.226.75.184
(62.226.75.184)
Jan 31 21:33:54 lothar login: FAILED LOGIN 1 FROM p3EE24BB8.dip.t-dialin.net
FOR guest, User not known to the underlying authentication module
Jan 31 21:34:05 lothar login: FAILED LOGIN 2 FROM p3EE24BB8.dip.t-dialin.net
FOR root, Authentication failure
Jan 31 21:34:18 lothar login: FAILED LOGIN 3 FROM p3EE24BB8.dip.t-dialin.net
FOR root, Authentication failure
Jan 31 21:34:30 lothar login: FAILED LOGIN SESSION FROM
p3EE24BB8.dip.t-dialin.net FOR lothar, User not known to the underlying
authentication module
Jan 31 21:36:49 lothar in.telnetd[12273]: connect from 62.226.75.184
(62.226.75.184)
Jan 31 21:37:34 lothar login: FAILED LOGIN 1 FROM p3EE24BB8.dip.t-dialin.net
FOR root, Authentication failure
- ----------------------------------------------------------

Da hat doch wohl jemand versucht, sich bei mir einzuloggen, der es mit
Sicherheit nicht darf.
Nun halte ich den Versuch für etwas stumpf, immerhin halten meine passwörter
dem Sicherheitscheck beim Ändern immer stand und per telnet als root ist
ohnehin nicht drin, aber stutzig macht mich sowas schon.
Ich hab dann gestern Abend nochmal tripwire --check laufen lassen (von einer
cd) und das sagt mir nichts in Richtung 'System compromised'.

Die Frage ist nun: Wie ernst muss ich sowas nehmen und gibt's überhaupt
Möglichkeiten dagegen (den telnet-port zumachen geht nicht, den brauche ich)?

Vielen Dank schonmal im Voraus.

martin

--
when in danger or in doubt, run in circles, scream and shout!
pgp-key: via wwwkeys.pgp.net, key id is 0x21eec9b0

< Previous Next >