217.160.185.217

Beitrag von **callimann** » 19.12.2005, 17:12

War gestern sehr aktiv und startete viele Angriffe.

von **Anzeige von ABAKUS** »

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002

persönliche Betreuung
individuelle Beratung
kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Beitrag von **Chris2005** » 19.12.2005, 17:43

User-Agent?

Lt. Whois.sc gehoert die IP zu treffnix.net ... Schon komisch

https://whois.sc/217.160.185.217

Vom Gefuehl her vor die Tuer setzen...

Beitrag von **callimann** » 20.12.2005, 10:40

So sieht es heute Nacht wieder aus.

Code: Alles auswählen

Dec 19 04&#58;16&#58;15 h674849 sshd&#91;31000&#93;&#58; Illegal user bardy from 217.160.185.217
Dec 19 04&#58;16&#58;15 h674849 sshd&#91;31000&#93;&#58; input_userauth_request&#58; illegal user bardy
Dec 19 04&#58;16&#58;15 h674849 sshd&#91;31000&#93;&#58; Failed password for illegal user bardy from 217.160.185.217 port 43361 ssh2
Dec 19 04&#58;16&#58;16 h674849 sshd&#91;31000&#93;&#58; Received disconnect from 217.160.185.217&#58; 11&#58; Bye Bye

und das mit fast allen Namen mit b

Beitrag von **Datentechnik** » 20.12.2005, 11:49

Der Rechner wird wohl gehijacked sein. Schreibe doch einfach mal eine Mail an Schlund, um dem armen Administrator einen Hinweis zu geben.

Beitrag von **callimann** » 20.12.2005, 12:01

Sehr witzig

Beitrag von **Pompom** » 20.12.2005, 16:07

@Boa

Schreib eine Mail an abuse@schlund.com.
Es handelt sich eindeutig um einen Hackerangriff.
Schicke einen Auszug aus deinem Serverlog mit und bitte sie, dafür sorge zu tragen, entsprechende Angriffe zu unterlassen.
Für einen Einbruch über ihre Server solltest Du dir gleich noch rechtliche Schritte vorbehalten, hilft meist.

Dein Hacker probiert einfach Wortlisten durch und hofft, einen Account mit entspr. Passwort zu finden. Ist mittlerweile sehr verbreitetes Kiddyhacking, da es Programme und Account/PW-Listen ausreichend im Netz gibt.

Beitrag von **Chris2005** » 20.12.2005, 16:40

Macht es nicht erstmal Sinn diese IP mit deny from 216.160.185.217 vor die Tuer zu setzen? Dann kriegt der erstmal nen 403er praesentiert und gut ist.

Die Mail kann er dann immer noch schreiben - auch in Hinblick darauf, um Schaden bei anderen zu verhindern.

Beitrag von **callimann** » 20.12.2005, 16:41

Danke @Pompom gute Idee

Das habe ich jetzt mal gemacht.
Ich hoffe, das es hilft.

Beitrag von **Pompom** » 20.12.2005, 18:21

Macht es nicht erstmal Sinn diese IP mit deny from 216.160.185.217 vor die Tuer zu setzen? Dann kriegt der erstmal nen 403er praesentiert und gut ist.

Das ist ein Angriff über ssh und nicht über http, damit kannst du in deine Webserverkonfiguration schreiben, was du willst. Sollte man dann schon in der ssh-Config unterbringen.

Es bietet sich grundsätzlich an, entsprechende Services wie ssh/ftp... nur dann laufen zu lassen, wenn sie gebraucht werden. Lassen sich z.B. zu bestimmten Zeiten starten und stoppen.
Da prallen dann entsprechende Angriffe ausserhalb normaler (deutscher) Arbeitszeiten grundsätzlich ab.

Beitrag von **Chris2005** » 20.12.2005, 18:32

Pompom hat geschrieben:
Macht es nicht erstmal Sinn diese IP mit deny from 216.160.185.217 vor die Tuer zu setzen? Dann kriegt der erstmal nen 403er praesentiert und gut ist.

Das ist ein Angriff über ssh und nicht über http, damit kannst du in deine Webserverkonfiguration schreiben, was du willst. Sollte man dann schon in der ssh-Config unterbringen.

ahh ... hatte ich oben im Follow-Up uebersehen... Ich bezog mich immer noch auf den Eingangspost...

Aber Du hast absolut recht mit der Bemerkung Services nur dann zu starten, wenn sie gebraucht werden. Ist ja bei Windows nicht anders

Beitrag von **Pompom** » 20.12.2005, 19:15

Ich bezog mich immer noch auf den Eingangspost...

Hm...
Ich auch

Beitrag von **Datentechnik** » 20.12.2005, 20:34

Boa hat geschrieben:Sehr witzig

Das ist überhaupt nicht witzig, sondern tägliche Realität, leider.
Ein gewissen Schutz hast Du - wenn Du denn SSH auf Deinem Server brauchst -, wenn Du den Standardport verbiegst und ein besonders langes, kryptisches Passwort verwendest.
Wenn der Angriff nur von einer IP kommt, kannst Du in Deiner Firewall natürlich die IP aussperren.
Darüberhinaus wäre es natürlich sinnvoll den Hoster zu informieren.

Beitrag von **callimann** » 21.12.2005, 10:36

@Pompom

Super Tip. Hat geklappt und heute Nacht war Ruhe. Die Mail wurde auch beachtet und es kam sogar eine persönliche Antwort.

Beitrag von **callimann** » 22.12.2005, 16:24

Nun geht es weiter:
https://whois.sc/66.15.145.131
Schon schwieriger

Beitrag von **Pompom** » 22.12.2005, 17:57

Wie gesagt, einfachste Variante ist, ssh nur laufen zu lassen, wenn man es braucht.
Der Tipp mit dem verbogenen Standardport hat auch etwas für sich, da die meisten Kiddyscripts die Standardports abklopfen.