Hi Liste! was sollte mir folgendes sagen? Jul 5 15:10:17 LSERV01 -- MARK -- Jul 5 15:17:44 LSERV01 sshd[24268]: Connection closed by 213.6.240.21 Jul 5 15:18:21 LSERV01 sshd[24269]: Failed password for ROOT from 213.6.240.21 port 63348 Jul 5 15:18:21 LSERV01 sshd[24269]: Connection closed by 213.6.240.21 Jul 5 15:18:52 LSERV01 sshd[24270]: Connection closed by 213.6.240.21 Jul 5 15:19:18 LSERV01 sshd[24271]: Connection closed by 213.6.240.21 Jul 5 15:19:38 LSERV01 sshd[24272]: Faking authloop for illegal user usex from 213.6.240.21 port 63348 Jul 5 15:19:41 LSERV01 sshd[24272]: Connection closed by 213.6.240.21 Jul 5 15:30:17 LSERV01 -- MARK -- Einbruchsversuch ueber ssh! ok. Aber: War es drin? Was ist zu tun? Was bedeuted dieses faking authloop? Liste der heute geaenderten Dateien habe ich (mtime -1). Hatte zufaelligerweise zu der Zeit auch ein TCPDUMP auf ippp0 zu laufen. nuetzt es mir was? Was ist mit Polizei? Suse 6.4 /2.2.14 ueber ippp0 ip-masquerading Ports up: 25, 80, 113, 1352, sonst nix! Danke! --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Jens_Haase@t-online.de (Jens_Haase@t-online.de) wrote: Jtod> Aber: War es drin? Was ist zu tun? Drin war der nicht, da stand ja nur was von Failed Password und nie was von Connect oder Login. Zu tun ist also nix. Schätz ich mal. Jtod> Was bedeuted dieses faking authloop? Ich weiß es nicht genau, aber ich denke mal, dass das irgendeine Massnahme vom sshd ist, um den Angreifer zu veräppeln. Jtod> Was ist mit Polizei? Wieso Polizei? Da ist nix weiter, außer, dass jemand connectet hat und ein falsches Passwort eingegeben hat. Was denkst du, wie oft sowas auf "großen" Servern vorkommt, da versucht sich alle Nase lang mal ein Spaßvogel am Root-Passwort. BTW, wofür steht bei dir die Abkürzung LSERV01? Wir benutzen LSERV als Abkürzung für Leserservice, somit würde mich mal interessieren, was das bei dir heißt. -- Andreas Reich ICQ #19338732 webmaster@cyraxx.de http://www.cyraxx.de/ webmaster-der-w@uerstchenbu.de http://w.uerstchenbu.de/ andreas@andreasreich.net http://www.gar-nichts.de/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Jens_Haase@t-online.de wrote:
Einbruchsversuch ueber ssh! ok. Was ist mit Polizei?
Ja unbedingt... ;-) 213.6.240.21 = AF015.pppool.de das sagt zumindest ein traceroute dazu. Servus -- Peter Spiess |\:/| peter.spiess@ima-abele.de (o @) http://www.ima-abele.de ---ooO-(_)-Ooo--- Linux, what else ...! --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (3)
-
Jens_Haase@t-online.de -
peter.spiess@ima-abele.de -
webmaster@cyraxx.de