"possible break-in attempt"

A

Andrash

Aktives Mitglied
Thread Starter
Dabei seit
10.05.2008
Beiträge
145
Reaktionspunkte
2
Guten Morgen community!

Ich habe gerade mein Sicherheitslog hervorgeholt, da ein User sich nicht mehr einloggen konnte und ich in den Log's sehen wollte, ob er sich allenfalls zu oft mit falschen credentials einzuloggen versuchte.
Dabei ist mir folgende, noch immer sich wiederholendes aufgefallen:


Aug 29 10:09:20 server sshd[52617]: /etc/sshd_config line 70: Unsupported option KerberosGetAFSToken
Aug 29 10:09:23 server sshd[52617]: Invalid user thomas from 221.5.250.94
Aug 29 10:09:23 server sshd[52617]: fatal: initgroups: NOUSER: No such file or directory
Aug 29 10:10:52 server sshd[52648]: /etc/sshd_config line 70: Unsupported option KerberosGetAFSToken
Aug 29 10:10:53 server sshd[52648]: Address 67.19.90.34 maps to files2.bungie.org, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Zum Vergrößern anklicken....


Muss ich mir Sorgen machen? Kann ich etwas dagegen unternehmen? Jeder verständlich beschriebene Vorschlag ist willkommen :)

LG, Andrash
 
Follow up.

ich habe mittlerweile lange logs durchgeschaut und sehe, dass mit verschiedenen namen versucht wird einzudringen. da die angriffe immer von der selben ip aus kommen, wollte ich sie über die bordeigene firewall blocken, was mir aber nicht gelang. bei aktiver firewall waren übrigens die dienste von aussen nicht mehr erreichbar, obschon die nötigen Ports explizit durchlässig waren.
Alternativ habe ich Integos NetBarrier installiert und den entsprechenden Host in die Sperrliste gepackt. Danach hat alles funktioniert und im Sicherheitslog fanden sich auch keine entsprechenden Einträge mehr.

Nun ist der Server aber (nach einigen Stunden) nicht mehr von aussen ansprechbar. Heisst, ich düse ins Office und schaue nach dem Rechten....


Kann da einer tatsächlich eingebrochen sein und sein Unwesen treiben? Was muss ich machen?


Beste Grüsse,
Andrash
 
ssh angriffe sind normal, wenn der rechner am internet hängt...
sind halt meistens brute force attacken, die passwörter durchprobieren...

eventuell könntest du auch die abuse adressen der domains mal darüber informieren, dass deren server eventuell gehackt wurden und für solche angriffe missbraucht werden...
bungie.org ist ja schon recht groß...

wenn du nicht auf ssh mit passwörtern verzichten willst, kannst du so was wie denyhosts installieren. das checkt die logs nach passwort versuchen und sperrt dann die IP...
 
  • Gefällt mir
Reaktionen: Andrash
Publick Key verwenden und Passwort Authentication aus und dann hast du Ruhe ;)

...naja, im Log vielleicht immer noch nicht ;)
 
Ja, das habe ich auch mitbekommen. Peinlich die Aktion ;)
 
oneOeight schrieb:
ssh angriffe sind normal, wenn der rechner am internet hängt...
sind halt meistens brute force attacken, die passwörter durchprobieren...

eventuell könntest du auch die abuse adressen der domains mal darüber informieren, dass deren server eventuell gehackt wurden und für solche angriffe missbraucht werden...
bungie.org ist ja schon recht groß...

wenn du nicht auf ssh mit passwörtern verzichten willst, kannst du so was wie denyhosts installieren. das checkt die logs nach passwort versuchen und sperrt dann die IP...
Zum Vergrößern anklicken....

jetzt habe ich die aktuelle version von denyhosts auf dem server installiert. als leider terminal ungeübter, weiss ich nicht wie ich es zum laufen bringe. kannst du mir da in einfacher weise unter die arme greifen?

vielen dank und grüsse in die nacht
andrash
 
wenn du es als daemon nutzen willst, musst du halt erstmal das cfg file bearbeiten und dann halt den daemon starten...
wenn das dann nach jedem systemstart automatisch geschehen soll, musst du dir halt eine launchd plist machen...
 
Update "possible break-in attempt"

nun ist mein server nicht mehr erreichbar. ich habe allerdings noch nicht die möglichkeit gehabt, im büro vorbeizuschauen und herauszufinden was geschehen ist.
heute morgen um ca 1:00 fand ich einen logeintrag, inhalt in etwa so:
"successful login ob user.burn ....."
danach eine serie von etwa diesem inhalt
"changeing.realm no authentification"



what?
 
Succesful Login? Hast du tatsächlich so ein simples Passwort gewählt, dass man es mit einer Brute Force Attacke herausbekommt? Spätestens, wenn ich solche Angriffe sehe, mache ich doch ein langes, kryptisches Passwort mit Sonderzeichen, Ziffern und Klein- und Großbuchstaben...
 
Radiohead schrieb:
Succesful Login? Hast du tatsächlich so ein simples Passwort gewählt, dass man es mit einer Brute Force Attacke herausbekommt? Spätestens, wenn ich solche Angriffe sehe, mache ich doch ein langes, kryptisches Passwort mit Sonderzeichen, Ziffern und Klein- und Großbuchstaben...
Zum Vergrößern anklicken....

nö, mein passwort ist A) ziemlich lang (über 20 Zeichen) und B) enthält ein wunderschönes mischmasch aus zahlen, gross und kleinbuchstaben, sonderzeichen und so...

das kann es nicht sein. andere user haben keine admin berechtigungen und sind daher nicht so problematisch. ich denke da eher an eine ausgenutzte lücke im OS. Kann das sein?
 
abgesehen davon. kann man solche einen einbruchsversuch irgendwo melden, damit die sache untersucht und geahndet wird?
 
Sicherheitslücke im OS? Welche Version denn? SSH Version? Dann müsste die SSH Version ja eine Lücke gehabt haben...

Logs musst du selbst durchsuchen und herausfinden, warum und wieso. Das kannst du nirgends melden. Natürlich kannst du dich an ein IT Unternehmen wenden, die dann ordentlich Kohle dafür verlangen werden ;)
 
natürlich kann er eine anzeige bei der polizei machen...
ansonsten guck halt nach, woher der kam und beschwer dich bei dem besitzer des rechners...
 
oneOeight schrieb:
natürlich kann er eine anzeige bei der polizei machen...
ansonsten guck halt nach, woher der kam und beschwer dich bei dem besitzer des rechners...
Zum Vergrößern anklicken....

so was in der art habe ich mir auch gedacht. bislang endeten die ip adressen allerdings immer irgendwo auf seiten ohne jeden ansprechpartner. meist aus england via server in den usa.

ich schlaf mal drüber, fahr morgen ins office und check den server vor ort. remote ist da kein kontakt mehr möglich. web, mail und ical servers sind nicht ansprechbar... mir grausts!
 
Und? Was ist los mit der Box?
 
Box läuft nach wie vor. ich beobachte alle logs aufs genaueste. womit ich noch nichts anfangen kann sind einträge dieser sorte:

Sep 8 12:04:59 server pop3[42292]: realm changed: authentication aborted
Sep 8 12:35:17 server pop3[42753]: realm changed: authentication aborted
Sep 8 13:05:25 server pop3[43213]: realm changed: authentication aborted
Sep 8 13:35:38 server pop3[43666]: realm changed: authentication aborted
Sep 8 14:05:39 server pop3[44125]: realm changed: authentication aborted
Sep 8 14:35:50 server pop3[44577]: realm changed: authentication aborted
Sep 8 15:05:52 server pop3[45031]: realm changed: authentication aborted
Sep 8 15:36:01 server pop3[45499]: realm changed: authentication aborted
Sep 8 16:06:21 server pop3[45969]: realm changed: authentication aborted
Sep 8 16:34:24 server sshd[46394]: /etc/sshd_config line 70: Unsupported option KerberosGetAFSToken
Sep 8 16:34:24 server sshd[46394]: Did not receive identification string from 196.213.29.170
Sep 8 16:36:22 server pop3[46431]: realm changed: authentication aborted
Sep 8 16:45:08 server sshd[46573]: /etc/sshd_config line 70: Unsupported option KerberosGetAFSToken
Sep 8 17:06:22 server pop3[46905]: realm changed: authentication aborted
Sep 8 17:36:41 server pop3[47360]: realm changed: authentication aborted
Sep 8 18:06:50 server pop3[47812]: realm changed: authentication aborted
Zum Vergrößern anklicken....

weisst du etwas dazu?
 
hat was mit kerberos zu tun, falls du das nicht nutzt, guck doch mal, ob du das nicht deaktvieren kannst für die authorisation...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten