Mit Hydra SSH bruteforcen

Abend zusammen,

hab gerade mal versucht mit hydra meinen SSH-Server im Intranet zu bruteforcen.

Damit das nicht so lang dauert hab ich einen Usernamen angegeben und als Passwortliste eine 4 MB grosses wordfile.

Komischerweise bricht die ganze Geschichte nach kurzer Zeit ab.

Am Anfang sieht es noch so aus:

Code:
Hydra v5.3 (c) 2006 by van Hauser / THC - use allowed only for legal purposes.
Hydra (http://www.thc.org) starting at 2007-03-18 15:44:25
[DATA] 36 tasks, 1 servers, 869228 login tries (l:1/p:869228), ~24145 tries per task
[DATA] attacking service ssh2 on port 22
[VERBOSE] Resolving addresses ... done
[STATUS] 142.00 tries/min, 142 tries in 00:01h, 869086 todo in 102:01h
[STATUS] 139.33 tries/min, 418 tries in 00:03h, 868810 todo in 103:56h
[VERBOSE] Writing restore file... done
[STATUS] 135.43 tries/min, 948 tries in 00:07h, 868280 todo in 106:52h
[VERBOSE] Writing restore file... done
[VERBOSE] Writing restore file... done
[STATUS] 132.13 tries/min, 1982 tries in 00:15h, 867246 todo in 109:24h
[VERBOSE] Writing restore file... done
[VERBOSE] Writing restore file... done
[VERBOSE] Writing restore file... done
[STATUS] 122.19 tries/min, 3788 tries in 00:31h, 865440 todo in 118:03h
[VERBOSE] Writing restore file... done
[VERBOSE] Writing restore file... done
[VERBOSE] Writing restore file... done
[STATUS] 121.34 tries/min, 5703 tries in 00:47h, 863525 todo in 118:37h
[VERBOSE] Writing restore file... done
[VERBOSE] Writing restore file... done
[VERBOSE] Writing restore file... done
[STATUS] 119.41 tries/min, 7523 tries in 01:03h, 861705 todo in 120:17h
[VERBOSE] Writing restore file... done
[VERBOSE] Writing restore file... done
[VERBOSE] Writing restore file... done

Parallel dazu kann ich mich auch noch einloggen.

Aber dann:

Code:
[VERBOSE] Retrying connection for child 31
[VERBOSE] Retrying connection for child 3
Error: could not connect to target port 22
Error: could not connect to target port 22
[VERBOSE] Reducing maximum tasks for 192.168.0.2 to 35
[VERBOSE] Reducing maximum tasks for 192.168.0.2 to 34
Error: could not connect to target port 22
Error: could not connect to target port 22
Error: could not connect to target port 22
Error: could not connect to target port 22
[VERBOSE] Reducing maximum tasks for 192.168.0.2 to 33
Error: could not connect to target port 22
Error: could not connect to target port 22
Error: could not connect to target port 22
Error: could not connect to target port 22
Error: could not connect to target port 22
Error: could not connect to target port 22
Error: could not connect to target port 22
Error: could not connect to target port 22
Error: could not connect to target port 22
Error: could not connect to target port 22
Error: could not connect to target port 22
Error: could not connect to target port 22
Error: could not connect to target port 22
Error: could not connect to target port 22
Error: could not connect to target port 22
Error: could not connect to target port 22
Error: could not connect to target port 22
Error: could not connect to target port 22
Error: could not connect to target port 22
Error: could not connect to target port 22
Error: could not connect to target port 22
Warning: Timeout from child 0, restarting
Warning: Timeout from child 14, restarting
Warning: Timeout from child 30, restarting
Warning: Timeout from child 20, restarting
Warning: Timeout from child 13, restarting
Warning: Timeout from child 33, restarting
Warning: Timeout from child 2, restarting
Warning: Timeout from child 6, restarting
Warning: Timeout from child 15, restarting
Warning: Timeout from child 19, restarting
Warning: Timeout from child 25, restarting
Warning: Timeout from child 28, restarting
Warning: Timeout from child 23, restarting
Warning: Timeout from child 22, restarting
Warning: Timeout from child 26, restarting
Warning: Timeout from child 35, restarting
Warning: Timeout from child 18, restarting

und so weiter.....Ein einloggen über SSh ist nicht mehr möglich.

Beende ich die Attacke klappt auch das Einloggen wieder, der SSH-Server schmiert also nicht komplett ab.

Schön, hab ich also im Wesentlichen ne Denial-of-Service Attacke gemacht, was nicht Sinn und Zweck der Geschichte war.

Dazu nun einige Fragen:

Wie man an der Ausgabe sehen kann, lief die Attacke vorher 60 Minuten.

Ich habe während der Attacke ja nichts an den Einstellungen bzw. an der Anzahl / Geschwindigkeit der Einlog-Versuche geändert.

Warum passiert das dann erst nach 60 Minuten?

Müsste das nicht viel früher passieren?

P.S.:

Mein SSH-Server läuft auf gentoo, die openssh-packages hab ich vorher mit emerge auf den neuesten Stand gebracht.
 
Hallo,
hast du evt. dein SSH Server oder deine Firewall so konfiguriert, dass diese Bruteforce Attacken nach 60 Min. beendet?

Viel mehr kann aus deinen geposteten Daten nicht entnehmen.
 
Hmm,

ich hab zwar snort und dergleichen installiert, für diesen Test aber alles abgeschalten.....

Auch die logs sagen nicht wirklich was dazu............

Hmm, naja, ich werde den Test später noch mal wiederholen, wenn ich noch irgendwas rausfinden sollte meld ich mich nochmal..........
 
Zurück
Oben