Server wird gehackt - Eine Frage!

DJ Neighbour · 28.12.2007

Hallo Leute,

ich habe ein Problem. Mein Server wird seit einiger Zeit gehackt. Habe auch schon die Logs ausgelesen. Mit der IP kann ich nix machen -> Proxy. Aber kann ich irgendwo den Port einsehen, über den der "Hacker" versucht auf den Server zu kommen??

MfG

Stefan · 28.12.2007

Hallo,

das kommt drauf an, welche Programme eben in den Logs auftauchen. Wenn sich SSH über falsche Logins beschwert wird es Port 22 sein, usw...

Viele Grüße,
Stefan

DJ Neighbour · 28.12.2007

Ja, in den Logs zeigt es mir immer Invalid User '****' an, also einfach mal den Port 22 zu machen?!

Stefan · 29.12.2007

Ja, welches Programm meldet das? Wenn es der ssh-Dämon ist, dann wird es Port 22 sein. Nur dann musst du dir überlegen, wie du dann auf den Server kommst - sofern du ihn über ssh administrierst, denn dann sperrst du auch dich selbst aus.

DJ Neighbour · 31.12.2007

Ok, hab mal den Port 22 geschlossen und war mir bewusst das ich mich auch selbst aussperre, jedoch seh ich in der Log immernoch, das jmd versucht mit falschen Usernamen auf den Server per SSH zu zugreifen.
Was jetzt?

Stefan · 31.12.2007

Hallo,

nun gibt es 3 Möglichkeiten:

Du hast den Port nicht wirklich zugemacht
Du schaust im Log zur falschen Zeit nach (du musst die aktuellen Logs ansehen)
Es ist nicht der SSH-Dämon welcher sich beschwert.

Viele Grüße,
Stefan

oiermann · 02.01.2008

Was jetzt?

Mir fällt der Name grad nicht ein, aber da gibts so ein Lustiges Tool, welches SSH-Daemons überwacht und du kannst dem vorher sagen, dass z.B. beim dritten missglückten Loginversuch für die IP 10 Minuten gesperrt wird. Du kannst dann auch ganz sperren und und und und.....

Kackstelze · 15.01.2008

Ein ordentliches Passwort für alle Benutzer soll auch Wunder wirken. Man kann auch den login von Root über ssh verweigern, dann muss man sich erst als User einloggen und dann per 'su' zu root machen.

N paar "Angriffe" gibs immer. Da werden aber meist nur Wörterbucher getestet.

Greetz...

masel · 15.01.2008

haste ne feste ip oder geht das über nen dyndns zugang?

Wenn dyndns, dann würde ich einfach den Namen ändern, war bei mir auch mal.

MfG
Masel

doelle · 19.01.2008

wenn es wirklich Port 22 sein sollte...dann leg den port einfach um...z.B. 9643 (achte aber drauf, das dort kein anderer Dienst darauf läuft). Sonst schau dir fail2ban an....

ansonsten kannst du, wenn du über ne FIX-IP ins Internet gehst, einen Eintrag in denyhosts bzw. allowhosts setzen.

lollobollo · 13.02.2008

....Portknocking ist auch eine sehr effiziente Sache,versuche mich gerade diesbezüglich etwas schlau zu machen ;-)

Grüsse vom lollo

doelle · 14.02.2008

lollobollo...das hört sich interessant an...kannst ja mal nen "erfahrungsbericht" schreiben, wie gut das wirklich funktioniert...

lollobollo · 14.02.2008

...hab noch nicht die "grosse Linuxerfahrung" und mit dem knockd kann ich
mich nicht so richtig anfreunden,weshalb ich über iptables versuchen
möchte die echo requests temporär zu loggen und gleich auszuwerten.
Sollte dabei eine gewisse Reihenfolge von Anfragen an den richtigen Ports
ankommen,so wird die Regel für den SSH-Port zur Freigabe aktiviert.
Um ihn wieder zu beenden muss ich irgendwie das Sessionende noch
erkennen,aber insgesamt sollte dies mit einem Shellscript zu realisieren
sein....
Habe bald Urlaub und werde mich dann damit auseinander setzen,ein
Erfahrungsbericht ist garantiert ;-)

Server wird gehackt - Eine Frage!

DJ Neighbour

Stefan

DJ Neighbour

Stefan

DJ Neighbour

Stefan

oiermann

Kackstelze

masel

doelle

lollobollo

doelle

lollobollo

Server wird gehackt - Eine Frage!

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums