SSH-Einbruchversuche - unbedingt sichere Passwörter verwenden!

[DocSnyder]

Dies fällt nicht unter Phishing und nur im weiteren Sinne unter Exploits, aber jeder der eigene Infrastruktur mit festen IP-Adressen hostet muss zurzeit darauf gefasst sein, dass per SSH-Login Passwörter geraten werden. Wird ein Account geentert, wird von diesem Host aus weiter gescannt, wovon alleine im Hetzner-Netz bereits mindestens zwei Server betroffen sind bzw. waren.
Dabei werden neben Root auch Test- und Role-Accounts (guest, adm, www-data etc.) abgeklopft. Der eigentliche Angriff dauert meist nur eine Minute.
Bitte unbedingt die kritischen Accounts überprüfen, ob diese entweder gar kein Login erlauben oder zumindest die Passwörter sicher sind! Im Zweifelsfall lieber das Passwort wechseln. Und direktes Root-Login darf generell nie erlaubt sein.
Sofortige Prävention passiert am besten über ein Nullrouting:
# route add -host 212.199.38.132 reject
# route add -host 204.2.35.160 reject
# route add -host 195.117.30.195 reject
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

[Wolle]

Besonders hartnäckig und in dem Falle auch etwas außergewöhnlich:
wolle~$perl lgtest.pl
wolle~$69.93.111.66 has match 154 on Dec 16
wolle~$cat /var/log/messages|grep `69.93.111.66`
Dec 16 08:14:14 happyshitbit sshd[13009]: Did not receive identification string from ::ffff:69.93.111.66
[..] # ungewöhnlich, dass der nochmal kommt!
Dec 16 11:12:32 happyshitbit sshd[14403]: Failed password for illegal user nobody from ::ffff:69.93.111.66 port 47352 ssh2
Dec 16 11:12:33 happyshitbit sshd[14405]: Illegal user patrick from ::ffff:69.93.111.66
Dec 16 11:12:33 happyshitbit sshd[14405]: Failed password for illegal user patrick from ::ffff:69.93.111.66 port 47408 ssh2
Dec 16 11:12:34 happyshitbit sshd[14407]: Illegal user patrick from ::ffff:69.93.111.66
Dec 16 11:12:34 happyshitbit sshd[14407]: Failed password for illegal user patrick from ::ffff:69.93.111.66 port 47456 ssh2
Dec 16 11:12:35 happyshitbit sshd[14409]: Failed password for root from ::ffff:69.93.111.66 port 47506 ssh2
Dec 16 11:12:36 happyshitbit sshd[14411]: Failed password for root from ::ffff:69.93.111.66 port 47551 ssh2
Dec 16 11:12:37 happyshitbit sshd[14413]: Failed password for root from ::ffff:69.93.111.66 port 47601 ssh2
Dec 16 11:12:39 happyshitbit sshd[14415]: Failed password for root from ::ffff:69.93.111.66 port 47651 ssh2
Dec 16 11:12:40 happyshitbit sshd[14417]: Failed password for root from ::ffff:69.93.111.66 port 47695 ssh2
Dec 16 11:12:41 happyshitbit sshd[14419]: Illegal user rolo from ::ffff:69.93.111.66
Dec 16 11:12:41 happyshitbit sshd[14419]: Failed password for illegal user rolo from ::ffff:69.93.111.66 port 47748 ssh2
Dec 16 11:12:42 happyshitbit sshd[14421]: Illegal user iceuser from ::ffff:69.93.111.66
Dec 16 11:12:42 happyshitbit sshd[14421]: Failed password for illegal user iceuser from ::ffff:69.93.111.66 port 47799 ssh2
Dec 16 11:12:43 happyshitbit sshd[14423]: Illegal user horde from ::ffff:69.93.111.66
Dec 16 11:12:43 happyshitbit sshd[14423]: Failed password for illegal user horde from ::ffff:69.93.111.66 port 47852 ssh2
Dec 16 11:12:44 happyshitbit sshd[14425]: Illegal user cyrus from ::ffff:69.93.111.66
Dec 16 11:12:44 happyshitbit sshd[14425]: Failed password for illegal user cyrus from ::ffff:69.93.111.66 port 47904 ssh2
Dec 16 11:12:45 happyshitbit sshd[14427]: Illegal user www from ::ffff:69.93.111.66
Dec 16 11:12:45 happyshitbit sshd[14427]: Failed password for illegal user www from ::ffff:69.93.111.66 port 47953 ssh2
Dec 16 11:12:47 happyshitbit sshd[14429]: Failed password for illegal user wwwrun from ::ffff:69.93.111.66 port 48002 ssh2
Das dauert dann so ca 3 Minuten .
root Login ist latürich nicht möglich, aber Müll in den Logfiles wird immer mehr.
Seltsamerweise taucht genau diese IP auch mehrfach in den Maillog auf mit Versuchen ein open relay zu finden.
Deutet das nun auf gewollten Versuche hin , denn IMHO ist das worm-script ja nicht auf Suche nach open relay aus.
xprobe2 sagt dann auch:
[+] Stats:
[+] TCP: 5 - open, 57 - closed, 0 - filtered
[+] UDP: 0 - open, 0 - closed, 0 - filtered
[+] Portscan took 1.06 seconds.
[+] Details:
[+] Proto Port Num. State Serv. Name
[+] TCP 21 open ftp
[+] TCP 22 open ssh
[+] TCP 25 open smtp
[+] TCP 53 open domain
[+] TCP 80 open www
...
Mail an Hoster ist raus, aber denke das wird nicht viel bringen.
Erfolglose Versuche sind ja nicht strafrelevant.
Allerdings würde es mich nicht wundern, wenn der Bursche demnächst als Bulksender auftritt.
Immerhin sagt:
wolle~$netcat 69.93.111.66 25
220-g0d.ayksolutions.com ESMTP Exim 4.43 #1 Thu, 16 Dec 2004 07:18:47 -0600
220-We do not authorize the use of this system to transport unsolicited,
220 and/or bulk e-mail.
[..]
Mal sehen ob der Betreiber reagiert.
Gruß Wolle