ABAKUS

War gestern sehr aktiv und startete viele Angriffe.

User-Agent?

Lt. Whois.sc gehoert die IP zu treffnix.net ... Schon komisch

https://whois.sc/217.160.185.217

Vom Gefuehl her vor die Tuer setzen...

So sieht es heute Nacht wieder aus. und das mit fast allen Namen mit b

Der Rechner wird wohl gehijacked sein. Schreibe doch einfach mal eine Mail an Schlund, um dem armen Administrator einen Hinweis zu geben.

Sehr witzig

@Boa

Schreib eine Mail an abuse@schlund.com.
Es handelt sich eindeutig um einen Hackerangriff.
Schicke einen Auszug aus deinem Serverlog mit und bitte sie, dafür sorge zu tragen, entsprechende Angriffe zu unterlassen.
Für einen Einbruch über ihre Server solltest Du dir gleich noch rechtliche Schritte vorbehalten, hilft meist.



Dein Hacker probiert einfach Wortlisten durch und hofft, einen Account mit entspr. Passwort zu finden. Ist mittlerweile sehr verbreitetes Kiddyhacking, da es Programme und Account/PW-Listen ausreichend im Netz gibt.

Macht es nicht erstmal Sinn diese IP mit deny from 216.160.185.217 vor die Tuer zu setzen? Dann kriegt der erstmal nen 403er praesentiert und gut ist.

Die Mail kann er dann immer noch schreiben - auch in Hinblick darauf, um Schaden bei anderen zu verhindern.

Danke @Pompom gute Idee
Das habe ich jetzt mal gemacht.
Ich hoffe, das es hilft.

Macht es nicht erstmal Sinn diese IP mit deny from 216.160.185.217 vor die Tuer zu setzen? Dann kriegt der erstmal nen 403er praesentiert und gut ist.

Das ist ein Angriff über ssh und nicht über http, damit kannst du in deine Webserverkonfiguration schreiben, was du willst. Sollte man dann schon in der ssh-Config unterbringen.

Es bietet sich grundsätzlich an, entsprechende Services wie ssh/ftp... nur dann laufen zu lassen, wenn sie gebraucht werden. Lassen sich z.B. zu bestimmten Zeiten starten und stoppen.
Da prallen dann entsprechende Angriffe ausserhalb normaler (deutscher) Arbeitszeiten grundsätzlich ab.

Pompom hat geschrieben:

Macht es nicht erstmal Sinn diese IP mit deny from 216.160.185.217 vor die Tuer zu setzen? Dann kriegt der erstmal nen 403er praesentiert und gut ist.

Das ist ein Angriff über ssh und nicht über http, damit kannst du in deine Webserverkonfiguration schreiben, was du willst. Sollte man dann schon in der ssh-Config unterbringen.

ahh ... hatte ich oben im Follow-Up uebersehen... Ich bezog mich immer noch auf den Eingangspost...

Aber Du hast absolut recht mit der Bemerkung Services nur dann zu starten, wenn sie gebraucht werden. Ist ja bei Windows nicht anders

Ich bezog mich immer noch auf den Eingangspost...

Hm...
Ich auch

Boa hat geschrieben:Sehr witzig

Das ist überhaupt nicht witzig, sondern tägliche Realität, leider.
Ein gewissen Schutz hast Du - wenn Du denn SSH auf Deinem Server brauchst -, wenn Du den Standardport verbiegst und ein besonders langes, kryptisches Passwort verwendest.
Wenn der Angriff nur von einer IP kommt, kannst Du in Deiner Firewall natürlich die IP aussperren.
Darüberhinaus wäre es natürlich sinnvoll den Hoster zu informieren.

@Pompom
Super Tip. Hat geklappt und heute Nacht war Ruhe. Die Mail wurde auch beachtet und es kam sogar eine persönliche Antwort.

Nun geht es weiter:
https://whois.sc/66.15.145.131
Schon schwieriger

Wie gesagt, einfachste Variante ist, ssh nur laufen zu lassen, wenn man es braucht.
Der Tipp mit dem verbogenen Standardport hat auch etwas für sich, da die meisten Kiddyscripts die Standardports abklopfen.