Artikel mit ‘SSH’ getagged

Angriffe über Angriffe

Donnerstag, 27. November 2008

Abends:

Nov 27 21:09:51 gentoo sshd[6919]: Invalid user data from XXX.XXX.XXX.XXX
Nov 27 21:09:51 gentoo sshd[6922]: Invalid user oracle from XXX.XXX.XXX.XXX
Nov 27 21:09:51 gentoo sshd[6931]: Invalid user user from XXX.XXX.XXX.XXX
Nov 27 21:09:52 gentoo sshd[6943]: Invalid user install from XXX.XXX.XXX.XXX

und Tagsüber

Nov 27 13:02:43 gentoo sshd[3458]: Invalid user admin from XXX.XXX.XXX.XXX
Nov 27 13:02:47 gentoo sshd[3466]: Invalid user user from XXX.XXX.XXX.XXX
Nov 27 13:02:49 gentoo sshd[3470]: Invalid user test from XXX.XXX.XXX.XXX
Nov 27 13:02:51 gentoo sshd[3474]: Invalid user guest from XXX.XXX.XXX.XXX

Nov 27 10:58:33 gentoo sshd[2275]: Invalid user default from XXX.XXX.XXX.XXX
Nov 27 10:58:34 gentoo sshd[2279]: Invalid user sean from XXX.XXX.XXX.XXX
Nov 27 10:58:36 gentoo sshd[2283]: Invalid user erik from XXX.XXX.XXX.XXX
Nov 27 10:58:38 gentoo sshd[2287]: Invalid user house from XXX.XXX.XXX.XXX
Nov 27 10:58:40 gentoo sshd[2291]: Invalid user status from XXX.XXX.XXX.XXX

Nov 27 06:38:14 gentoo sshd[637]: Invalid user andrew from XXX.XXX.XXX.XXX
Nov 27 06:38:17 gentoo sshd[641]: Invalid user adam from XXX.XXX.XXX.XXX
Nov 27 06:38:20 gentoo sshd[645]: Invalid user trial from XXX.XXX.XXX.XXX
Nov 27 06:38:24 gentoo sshd[649]: Invalid user calendar from XXX.XXX.XXX.XXX
Nov 27 06:38:27 gentoo sshd[653]: Invalid user poq from XXX.XXX.XXX.XXX

Hat da noch Jemand fragen?

Anti Bruteforce Script

Donnerstag, 27. November 2008

Seit einem Tag läuft die erste Version des Anti Bruteforce Scriptes und es hat schon einige Versuche unterbunden. Auf meinem Testserver wird alle 5 Minunten geprüft, ob Angriffe stattfinden. Hier mal ein Auszug aus /var/log/messages

Nov 27 06:39:47 gentoo sshd[753]: Invalid user carla from XXX.XXX.XXX.XXX
Nov 27 06:39:50 gentoo sshd[757]: Invalid user cecilia from XXX.XXX.XXX.XXX
Nov 27 06:39:53 gentoo sshd[761]: Invalid user carolina from XXX.XXX.XXX.XXX
Nov 27 06:39:56 gentoo sshd[765]: Invalid user cezar from XXX.XXX.XXX.XXX
Nov 27 06:39:59 gentoo sshd[769]: Invalid user celia from XXX.XXX.XXX.XXX
Nov 27 06:40:01 gentoo cron[779]: (root) CMD (/root/script.sh)
Nov 27 06:40:01 gentoo cron[780]: (root) CMD (test -x /usr/sbin/run-crons && /u…
Nov 27 06:40:01 gentoo cron[781]: (root) CMD (root^Itest -x /usr/sbin/run-crons…
Nov 27 06:40:01 gentoo sSMTP[784]: Unable to locate mail
Nov 27 06:40:01 gentoo sSMTP[784]: Cannot open mail:25
Nov 27 06:40:01 gentoo cron[778]: (root) MAIL (mailed 35 bytes of output but go…
Nov 27 06:40:02 gentoo sshd[773]: Invalid user dan from XXX.XXX.XXX.XXX
Nov 27 06:40:03 gentoo sshd[811]: refused connect from XXX.XXX.XXX.XXX ….

Shell Script

Mittwoch, 26. November 2008

Ich plane in den nächsten Tagen ein Shell-Script zu schreiben, welches nach Angriffen per SSH in den Logs sucht und diese Einträge für eine bestimmte Zeit auf die Systeminterne Blacklist setzt. Somit ist dann ein Anpsrechen des Hosts von dieser IP aus nicht möglich.

SSH Tunnel über einen Proxy zu einem Proxy

Montag, 24. November 2008

Habe dazu eine kleines Tutorial zum Thema “SSH Tunnel über einen Proxy zu einem Proxy
geschrieben, ihr könnt den Link hier oder auf der rechten Seite entnehmen.