[Sicherheit] Viele Brutes

M

MajorP

kennt sich schon aus
Viele Brutes

Hallo,

habe seit kurzem ein Vserver bei 1blu und wollte mal wissen ob ich mir zwecks Sicherheit mehr Gedanken machen sollte, habe bisher in dem Punkt auch noch nicht viel gemacht, weil ich acuh garnicht weiss wo ich da am besten anfange. Ist es normal innerhalb von 7 Tagen Betrieb bereits 3 mal intensiv gescannt worden zu sein? Find das schon ein bisschen krass, zum Glück hatte keiner Erfolg. Hier mal ein kleiner Auszug daraus, auf welchen Einträgen ich noch nicht klar komme sind die ganz unten, dick markiert, klärt mich bitte auf was das zu sagen hat, vielen Dank.

Mfg MajorP

Code: 
Dec 17 08:38:03  sshd[28404]: Failed password for root from 125.246.84.5 port 39727 ssh2
Dec 17 08:38:07  sshd[28453]: Failed password for root from 125.246.84.5 port 39859 ssh2
Dec 17 08:38:12  sshd[28494]: Failed password for root from 125.246.84.5 port 39984 ssh2
Dec 17 08:38:17  sshd[28537]: Failed password for root from 125.246.84.5 port 40115 ssh2
Dec 17 08:38:22  sshd[28613]: Failed password for root from 125.246.84.5 port 40256 ssh2
Dec 17 08:38:26  sshd[28656]: Failed password for root from 125.246.84.5 port 40397 ssh2
Dec 17 08:38:30  sshd[29730]: Failed password for root from 125.246.84.5 port 40527 ssh2
Dec 17 08:38:36  sshd[29802]: Failed password for root from 125.246.84.5 port 40649 ssh2
Dec 17 08:38:41  sshd[29875]: Failed password for root from 125.246.84.5 port 40819 ssh2
Dec 17 08:38:46  sshd[29919]: Failed password for root from 125.246.84.5 port 40959 ssh2
Dec 17 08:38:51  sshd[30011]: Failed password for root from 125.246.84.5 port 41112 ssh2
Dec 17 08:38:57  sshd[30054]: Failed password for root from 125.246.84.5 port 41257 ssh2
Dec 17 08:39:01  sshd[30100]: Failed password for root from 125.246.84.5 port 41401 ssh2
Dec 17 08:39:06  sshd[30161]: Failed password for root from 125.246.84.5 port 41535 ssh2
Dec 17 08:39:12  sshd[30209]: Failed password for root from 125.246.84.5 port 41686 ssh2
Dec 17 08:39:17  sshd[30262]: Failed password for root from 125.246.84.5 port 41835 ssh2
Dec 17 08:39:21  sshd[30334]: Failed password for root from 125.246.84.5 port 41983 ssh2
Dec 17 08:39:26  sshd[30378]: Failed password for root from 125.246.84.5 port 42120 ssh2
Dec 17 08:39:30  sshd[30423]: Failed password for root from 125.246.84.5 port 42263 ssh2
Dec 17 08:39:36  sshd[30469]: Failed password for root from 125.246.84.5 port 42396 ssh2
Dec 17 08:39:41  sshd[30539]: Failed password for root from 125.246.84.5 port 42547 ssh2
Dec 17 08:39:47  sshd[30587]: Failed password for root from 125.246.84.5 port 42694 ssh2
Dec 17 08:39:51  sshd[30654]: Failed password for root from 125.246.84.5 port 42853 ssh2
Dec 17 08:39:56  sshd[31750]: Failed password for root from 125.246.84.5 port 42988 ssh2
Dec 17 08:40:01  sshd[31814]: Failed password for root from 125.246.84.5 port 43131 ssh2
Dec 17 08:40:06  sshd[31900]: Failed password for root from 125.246.84.5 port 43281 ssh2
Dec 17 08:40:11  sshd[31967]: Failed password for root from 125.246.84.5 port 43427 ssh2
Dec 17 08:40:16  sshd[32013]: Failed password for root from 125.246.84.5 port 43576 ssh2
Dec 17 08:40:22  sshd[32063]: Failed password for root from 125.246.84.5 port 43718 ssh2

Dec 17 16:03:06  sshd[23971]: Failed password for invalid user alexander from 59.106.23.190 port 45405 ssh2
Dec 17 16:03:08  sshd[24016]: Invalid user alexandra from 59.106.23.190
Dec 17 16:03:10  sshd[24016]: Failed password for invalid user alexandra from 59.106.23.190 port 45542 ssh2
Dec 17 16:12:41  sshd[8079]: Invalid user passwd from 59.106.23.190
Dec 17 16:12:43  sshd[8079]: Failed password for invalid user passwd from 59.106.23.190 port 43124 ssh2
Dec 17 16:12:45  sshd[8144]: Invalid user passwd from 59.106.23.190
Dec 17 16:12:48  sshd[8144]: Failed password for invalid user passwd from 59.106.23.190 port 43276 ssh2
Dec 17 16:12:50  sshd[9234]: Invalid user passwd from 59.106.23.190
Dec 17 16:12:51  sshd[9234]: Failed password for invalid user passwd from 59.106.23.190 port 43422 ssh2
Dec 17 16:12:54  sshd[9296]: Invalid user elena from 59.106.23.190
Dec 17 16:12:57  sshd[9296]: Failed password for invalid user elena from 59.106.23.190 port 43538 ssh2
Dec 17 16:12:59  sshd[9347]: Invalid user dk from 59.106.23.190
Dec 17 16:13:02  sshd[9347]: Failed password for invalid user dk from 59.106.23.190 port 43690 ssh2
Dec 17 16:13:04  sshd[9423]: Invalid user dj from 59.106.23.190
Dec 17 16:13:06  sshd[9423]: Failed password for invalid user dj from 59.106.23.190 port 43836 ssh2
Dec 17 16:13:09  sshd[9482]: Invalid user ssh from 59.106.23.190
Dec 17 16:13:11  sshd[9482]: Failed password for invalid user ssh from 59.106.23.190 port 43986 ssh2
Dec 17 16:13:13  sshd[9522]: Invalid user box from 59.106.23.190
Dec 17 16:13:15  sshd[9522]: Failed password for invalid user box from 59.106.23.190 port 44120 ssh2
Dec 17 16:13:17  sshd[9580]: Invalid user centre from 59.106.23.190
Dec 17 16:13:19  sshd[9580]: Failed password for invalid user centre from 59.106.23.190 port 44253 ssh2
Dec 17 16:13:22  sshd[9641]: Invalid user center from 59.106.23.190
Dec 17 16:13:24  sshd[9641]: Failed password for invalid user center from 59.106.23.190 port 44396 ssh2
Dec 17 16:13:27  sshd[9702]: Invalid user USA from 59.106.23.190
Dec 17 16:13:29  sshd[9702]: Failed password for invalid user USA from 59.106.23.190 port 44538 ssh2
Dec 17 16:13:31  sshd[9791]: Invalid user newuser from 59.106.23.190
Dec 17 16:13:33  sshd[9791]: Failed password for invalid user newuser from 59.106.23.190 port 44683 ssh2
Dec 17 16:13:36  sshd[9841]: Invalid user gate from 59.106.23.190
Dec 17 16:13:37  sshd[9841]: Failed password for invalid user gate from 59.106.23.190 port 44812 ssh2
Dec 17 16:13:40  sshd[9916]: Invalid user gate1 from 59.106.23.190
Dec 17 16:13:42  sshd[9916]: Failed password for invalid user gate1 from 59.106.23.190 port 44947 ssh2
Dec 17 16:13:44  sshd[9994]: Invalid user mr1 from 59.106.23.190
Dec 17 16:13:47  sshd[9994]: Failed password for invalid user mr1 from 59.106.23.190 port 45087 ssh2
Dec 17 16:13:49  sshd[10045]: Invalid user madamme from 59.106.23.190
Dec 17 16:13:51  sshd[10045]: Failed password for invalid user madamme from 59.106.23.190 port 45235 ssh2
Dec 17 16:13:53  sshd[10088]: Invalid user ady from 59.106.23.190
Dec 17 16:13:56  sshd[10088]: Failed password for invalid user ady from 59.106.23.190 port 45363 ssh2
Dec 17 16:13:58  sshd[10173]: Invalid user ady from 59.106.23.190
Dec 17 16:14:00  sshd[10173]: Failed password for invalid user ady from 59.106.23.190 port 45515 ssh2
Dec 17 16:14:02  sshd[10218]: Invalid user alin from 59.106.23.190
Dec 17 16:14:05  sshd[10218]: Failed password for invalid user alin from 59.106.23.190 port 45653 ssh2
Dec 17 16:14:07  sshd[11291]: Invalid user alina from 59.106.23.190
Dec 17 16:19:15  sshd[17921]: Failed password for invalid user udp from 59.106.23.190 port 41932 ssh2
Dec 17 16:19:18  sshd[17928]: Invalid user larisa from 59.106.23.190
Dec 17 16:19:21  sshd[17928]: Failed password for invalid user larisa from 59.106.23.190 port 42073 ssh2
Dec 17 16:19:23  sshd[17966]: Invalid user laura from 59.106.23.190
Dec 17 16:19:26  sshd[17966]: Failed password for invalid user laura from 59.106.23.190 port 42226 ssh2
Dec 17 16:19:28  sshd[17979]: Invalid user tv1 from 59.106.23.190
Dec 17 16:19:30  sshd[17979]: Failed password for invalid user tv1 from 59.106.23.190 port 42379 ssh2
Dec 17 16:19:32  sshd[17991]: Invalid user opel from 59.106.23.190
Dec 17 16:19:34  sshd[17991]: Failed password for invalid user opel from 59.106.23.190 port 42522 ssh2
Dec 17 16:19:39  sshd[18025]: Failed password for root from 59.106.23.190 port 42667 ssh2
Dec 17 16:19:43  sshd[18043]: Failed password for root from 59.106.23.190 port 49679 ssh2
Dec 17 16:19:48  sshd[18058]: Failed password for root from 59.106.23.190 port 49815 ssh2

Code: 
[b]
Dec 20 03:44:06 v31479 shadow[13337]: group already exists - group=haldaemon, by=0
Dec 20 03:44:06 v31479 useradd[13338]: account already exists - account=haldaemon, by=0
Dec 20 03:45:11 v31479 shadow[13864]: group already exists - group=ntadmin, by=0
Dec 20 03:45:34 v31479 shadow[13962]: group is unknown - group=wwwadmin, by=0
Dec 20 03:45:34 v31479 shadow[13963]: default group changed - account=wwwrun, uid=30, gid=8, old gid=8, by=0
Dec 20 03:45:34 v31479 shadow[13964]: shell changed - account=wwwrun, uid=30, shell=/bin/false, old shell=/bin/false, by=0
Dec 20 03:45:44 v31479 shadow[14039]: group already exists - group=mysql, by=0
Dec 20 03:45:44 v31479 useradd[14040]: account already exists - account=mysql, by=0
Dec 20 03:45:44 v31479 shadow[14041]: default group changed - account=mysql, uid=60, gid=103, old gid=103, by=0
Dec 20 03:45:44 v31479 shadow[14041]: shell changed - account=mysql, uid=60, shell=/bin/bash, old shell=/bin/bash, by=0
Dec 20 03:46:03 v31479 shadow[15718]: group already exists - group=mailman, by=0
Dec 20 03:46:03 v31479 useradd[15719]: account already exists - account=mailman, by=0
Dec 20 03:46:50 v31479 shadow[15937]: group already exists - group=sshd, by=0
Dec 20 03:46:50 v31479 useradd[15938]: account already exists - account=sshd, by=0
Dec 20 03:46:54 v31479 shadow[15969]: group already exists - group=named, by=0
Dec 20 03:46:54 v31479 useradd[15970]: account already exists - account=named, by=0
Dec 20 03:46:54 v31479 shadow[15971]: home directory changed - account=named, uid=44, home=/var/lib/named, old home=/var/lib/named, by=0
Dec 20 03:46:54 v31479 shadow[15971]: shell changed - account=named, uid=44, shell=/bin/false, old shell=/bin/false, by=0
Dec 20 03:56:01 v31479 /usr/sbin/cron[20044]: (root) CMD (/usr/local/psa/admin/sbin/backupmng >/dev/null 2>&1)
Dec 20 04:11:01 v31479 /usr/sbin/cron[28602]: (root) CMD (/usr/local/psa/admin/sbin/backupmng >/dev/null 2>&1)
Dec 20 04:26:01 v31479 /usr/sbin/cron[3582]: (root) CMD (/usr/local/psa/admin/sbin/backupmng >/dev/null 2>&1)
[/b]

Was mich ausserdem noch interssiert ob die Dienste alle unter sicherheitsspezifischen Aspekten richtig laufen, grade der Emaildienst macht mir da Bedenken...
top
 
Zuletzt bearbeitet:
Hmm,

gibt mal die IP vom Log in Google ein.

Der untere Teil listet internetspezifische, laufende Server - Dienste auf:

MySQL (Datenbank), ssh (sichere Verbindung), Automount (haldaemon), named (für Namensauflösung),
mailman (Milchlieferant, Webseiten), wwwrun (Apache Client), wwwadmin (für virt. Apache Server), etc., falls ich was übersehen habe.

Deine Sicherheitsbedenken scheinen grundlos zu sein. Deswegen gibt's den ssh - Dienst.
Aber ich würde die Fehlermeldungen bei einem missglückten (Hacking-) Versuchen nicht
an die Source IP zu senden, sondern mit /dev/null gleich in den Gulli, so bleibt die Adresse ohne Antwort.
Was Freaks mitunter rasend machen kann.
 
ok, hört sich schonmal gut an, bin ich ja erstmal beruhigt, hab nur ne schock bekommen als ich nach ner woche halt mal in die logs geschaut hab ;). is mir schon klar das scannen ne großer sport ist aber dass es dann so krass ist hätt ich doch nicht erwartet. nur was meinst du dass ich die "hackversuche" beantworte? ich beantworte da ja nichts von, ich guck mir nur über ein whois an wer das alles so ist, das mache ich aber natürlich von meinem privat rechner aus oder trett ich jetzt auf ganz falschem boden, erklärs mir doch bitte. danke schonmal!
 
Nicht du beantwortest sie, sondern der Server.
Wie er antowrtet findest du in der httpd.conf.
Dort ist aufgelistet, wie der Server bei LogIns reagieren soll.

Sollte z.B.
ErrorDokument 401 und 403 aktiviert sein, bin ich mir ziemlich sicher,
daß der Server mit Unauthorized oder Forbidden antwortet.
Für die IP auf der anderen Seite kann das ein Ansporn sein.
Hier könntest du den Server auf meinetwegen 404 umleiten.
Explizit kannst du auch über Allow/Deny die IPs sperren,
mit der Zeit wird dies allerdings sehr aufwendig.
Wenn du über die httpd.conf nicht Bescheid weißt, kannst du sie hier als Code/Anhang
posten, mal schauen was wir verschlimmbessern können. :D

Es geht ja eher darum, die Anzahl der Versuche zu verringern,
abstellen kann man die so oder so nicht.
Aber erst einmal kam bisher offenbar noch keiner auf deinen Server.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben