Mögliche Attacke

Hallo!
Grad schlug mein Netzwerk Monitor Alarm, dass es sehr viele SSH- Verbindungsaufrufe gäbe.
Mal mit Ethereal reingeschaut, und gemerkt, das eine IP (66.70.109.109) jede sec. 2 Connects versucht.

Auf der fremden IP läuft auch ein Webserver mit div. Diensten.
Nach einer Rückverfolgung, scheint die IP aus "Jersey City" in der Nähe von New York zu kommen.
Kann man das als Attacke werten?

Danke ;)
Björn
 
@techniker

Wenn die loginversuche mit usern wie: guest, root, admin, mysql, user etc. probiert werden- dann gehoert die Kiste entweder jemanden der deine Kiste knacken will- oder viel wahrscheinlicher- jemandem dessen Kiste schon geknackt worden ist.

Attacke = ja, aber harmlos solange deine Passwoerter gut -und deine Services gepflegt sind ;)

netterweise koenntest du dem admin der Kiste ja mal ne mail mit deinen logs schicken.
 
Das werde ich ihm mal schicken :)
Per BruteForce bekommt man das Passwort in absehbarer Zeit
sowiso nicht raus :D

Danke :]
 
kleiner tip am rande zur sicherheit: ersetzte in /etc/shadow den hash von root durch ein anführungszeichen. damit kannst du anmeldungen per root verbieten
 
@son-goku
-> Das geht unter Windows prima, und einigermaßen zuverlässig (bei welchen Provider die IP registriert ist) mit NeoTrace.
Da gibts dann ne Node, List oder Map-Darstellung.
In der Node/List-Darstellung siehst du, Welche Router im Internet bist zur Ziel IP durchlaufen werden.
Die Map-Darstellung, zeigt das alles Grafisch auf einer Weltkarte. :)

@2Bios
-> Danke für den Hinweis, das Verfahren hab ich auf meinem Mail-Server angewandt.
Nur kann ich es nicht auf dem Web, Jabber, etc. sperren, da ich als root von meinem PDA aus der Schule noch rein muss. :D

Danke =)
 
@techniker:
einfach in der /etc/ssh/sshd_config "PermitRootLogin no" eintragen, und schon kann sich keiner mehr direkt per SSH einloggen.
würde ich vorschlagen, weil das einfach sicherer ist (zusätzlich vielleicht noch den port auf 5362 oder sowas umlegen).

und einloggen kannst du dich dann immernoch, nur dann zuerst als normaler SSH-user und dann "su" & root-passwort eingeben und du bist als root drin ;)

cYa
 
Zurück
Oben