Onderwerp: SSH Login Failures

Hye

Gisteren heeft iemand meerdere malen proberen in te loggen op de SSH root.

Jan 8 18:15:57 globalhost sshd[82185]: Failed password for root from 62.40.154.55 port 52123 ssh2
Jan 8 18:15:58 globalhost sshd[82191]: Failed password for root from 62.40.154.55 port 52155 ssh2

Zijn IP adres is dus 62.40.154.55.
Is dit door Host Subnet Scanner van op dit forum te achterhalen wie dit is? Invoer : 62.40.154.55
62.40.154.0 ---> 62.40.154.0
62.40.154.1 ---> h062040154001.bad.cm.kabsi.at

Niet zo speciaal hoor, gewoon brute force scriptes op hacked servers...

Wij krijgen dagelijks ook brute-force attacks waarbij men probeert in te loggen via SSH. Het beste kun je een programma op je server zetten die brute-force attacks automatisch blokkeert. Om nu elke gebruiker te achterhalen, lijkt mij een beetje nutteloos.

admin/password from 61.97.192.99: 5 Time(s)
admin/password from 81.176.76.210: 4 Time(s)
guest/password from 61.97.192.99: 3 Time(s)
guest/password from 81.176.76.210: 2 Time(s)
root/password from 61.97.192.99: 6 Time(s)
root/password from 81.176.76.210: 6 Time(s)
test/password from 61.97.192.99: 6 Time(s)
test/password from 81.176.76.210: 4 Time(s)
user/password from 61.97.192.99: 2 Time(s)
user/password from 81.176.76.210: 2 Time(s)

Het lijstje van gisteren.

Mjah, remote root uitzetten op ssh en bijv. ssh op een andere poort zetten, houd de meeste kiddies wel op afstand, maar volgens mij is hier al eens een topic over geweest.

Dat ziet er niet echt "Brute force" achtig uit. Ik heb ook dagelijks van die mensen die een aantal keer op zowel bestaande als niet bestaande accounts proberen in te loggen. Echte brute force attacks heb ik ook wel gehad waarbij er in 1 dag vele duizenden attempts geweest waren op Root, Admin, en nog een aantal andere accounts. Meestal meld ik het niet eens, maar als men 10.000 keer in 1 dag probeert mijn root password te achterhalen, dan gaat er wel een melding richting de betreffende abuse afdelingen.

Ik heb na de eerste attack in iedergeval mijn Root password veranderd naar ik geloof 24 random tekens... dat houd ze de volgende keer wel even bezig.

Van 19 december tot nu:


[root@pc115 log]# grep -i "authentication failure" messages.* | grep -i sshd | wc -l
13622

Ruim 13.000 keer, en dat is slechts op 1 server.

Dus wat is het meest aangeraden van te doen?

Bedankt.

Eh, sshd op andere poort is al een goed begin.

Anders gewoon firewall

Origineel geplaatst door Mathieu
Dus wat is het meest aangeraden van te doen?

Bedankt.

Lange passwords kiezen, en af en toe veranderen.

Ik heb er dagelijks een stuk of 10 op een van mijn servers, niet echt bijzonder dus.

Directe root toegang uitschakelen is ook wel verstandig.

Origineel geplaatst door Adonis
Ik heb na de eerste attack in iedergeval mijn Root password veranderd naar ik geloof 24 random tekens... dat houd ze de volgende keer wel even bezig.

Houd er wel rekening mee dat passwords doorgaans worden getruncate na 8 karakters.

Wij hebben er ook 150 op een dag, niets tegen te doen..

Origineel geplaatst door phreak
Mjah, remote root uitzetten op ssh en bijv. ssh op een andere poort zetten, houd de meeste kiddies wel op afstand, maar volgens mij is hier al eens een topic over geweest.

Sinds wij dat hebben gedaan hebben we nauwelijks meer 'last' van failed logins

Origineel geplaatst door Carl<n-media>
Wij krijgen dagelijks ook brute-force attacks waarbij men probeert in te loggen via SSH. Het beste kun je een programma op je server zetten die brute-force attacks automatisch blokkeert. Om nu elke gebruiker te achterhalen, lijkt mij een beetje nutteloos.


Het lijstje van gisteren.

Mooie output zo, script voor ofzo?

Origineel geplaatst door yourforum


Mooie output zo, script voor ofzo?

cPanel verstuurt automatisch e-mail berichten naar de root user van de server met dit soort informatie. Eventueel kun je er ook zelf een script voor maken die door middel van een cron job elke dag de failed log ins naar je e-mail adres stuurt.