Ständiga loginförsök på servern

Fritt forum, här är det högt i taket.
Post Reply
Sourcer
Posts: 1183
Joined: 15 October 2005, 21:37

Ständiga loginförsök på servern

Post by Sourcer » 23 January 2007, 14:35

Har ni också ständiga loginförsök på era servrar. Det är nästan varje minut som någon försöker logga in från andra länder, och värst är det från Ryssland. Ibland önskar jag önskar att Stalin levde.

Exempel från dagens logg:
Jan 23 08:00:23 [4569]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:00:35 [4571]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:00:41 [4573]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:00:47 [4575]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:00:53 [4577]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:00:59 [4579]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:01:05 [4583]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:01:11 [4585]: authentication failure; rhost=62.205.186.217 user=daemon
Jan 23 08:01:17 [4587]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:01:23 [4589]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:01:29 [4593]: authentication failure; rhost=62.205.186.217 user=superuser
Jan 23 08:01:35 [4595]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:01:41 [4597]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:01:47 [4599]: authentication failure; rhost=62.205.186.217 user=ftp
Jan 23 08:01:52 [4601]: authentication failure; rhost=62.205.186.217 user=test
Jan 23 08:01:58 [4603]: authentication failure; rhost=62.205.186.217 user=administrator
Jan 23 08:02:04 [4605]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:02:10 [4607]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:02:16 [4609]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:02:22 [4611]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:02:28 [4613]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:02:34 [4615]: authentication failure; rhost=62.205.186.217 user=guest
Jan 23 08:02:40 [4617]: authentication failure; rhost=62.205.186.217 user=admin
Jan 23 08:02:46 [4619]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:02:52 [4621]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:02:57 [4623]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:03:03 [4625]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:03:09 [4627]: authentication failure; rhost=62.205.186.217 user=apache
Jan 23 08:03:15 [4629]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:03:21 [4631]: authentication failure; rhost=62.205.186.217 user=mysql
Jan 23 08:03:27 [4633]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:03:33 [4635]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:03:39 [4637]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:03:45 [4639]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:03:51 [4641]: authentication failure; rhost=62.205.186.217 user=named
Jan 23 08:03:57 [4643]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:04:03 [4645]: authentication failure; rhost=62.205.186.217 user=root
Jan 23 08:04:12 [4647]: authentication failure; rhost=62.205.186.217 user=root

User avatar
Emil.s
Posts: 4366
Joined: 24 May 2005, 22:22
Location: Hedemora/Dalarna
Contact:

Post by Emil.s » 23 January 2007, 15:05

Jo, visst ser det ut sådär... :-?
Men men, har stängt av root login och installerat fail2ban.
Så de får väl försöka då...
Innan ni postar: Läs FAQen
När ni postar:
Posta i Rätt forum! Och skriv/formulera dig rätt

User avatar
andersajja
Posts: 1123
Joined: 17 August 2005, 14:22
Location: Motala
Contact:

Post by andersajja » 23 January 2007, 15:07

Det där är ett ganska litet nätverk, om du inte behöver någonting från dom.
Blockera route: 62.205.160.0/19 så kan de hack bäst fan de vill. :wink:
andersajja

"You are not allowed to criticize this product publicly",
"You agree that by agreeing, we can make any changes to
the agreement in the future which you automatically agree to."

User avatar
depeo
Posts: 1122
Joined: 20 October 2003, 19:46
Location: Västerås

Re: Ständiga loginförsök på servern

Post by depeo » 23 January 2007, 16:41

Fruktansvärt! :lol:
Sourcer wrote:Ibland önskar jag önskar att Stalin levde.


Jag brukar sätta sshporten till 2222, vips inte ett enda försök. :)

mikma
Posts: 3349
Joined: 10 July 2003, 21:19

Post by mikma » 23 January 2007, 16:46

Alternativt använda enbart rsa/dsa nycklar i ssh.

Sourcer
Posts: 1183
Joined: 15 October 2005, 21:37

Post by Sourcer » 23 January 2007, 16:54

Jag har gjort så att root inte får logga in, samt att de konton som får logga in verifieras från en annan server på insidan. När 3 felaktiga lösenord är angivna så avaktiveras kontot i 30 minuter, samt att varje försök inom den perioden förlänger tiden med 30 minuter.

User avatar
Biffy
Posts: 1970
Joined: 22 March 2004, 22:26
Location: /home

Post by Biffy » 23 January 2007, 21:44

Var kan du se denna log någonstans?
Image

Använder Ubuntu Dapper.

User avatar
Emil.s
Posts: 4366
Joined: 24 May 2005, 22:22
Location: Hedemora/Dalarna
Contact:

Post by Emil.s » 23 January 2007, 22:02

Biffy wrote:Var kan du se denna log någonstans?
/var/log/auth.log :)
Innan ni postar: Läs FAQen
När ni postar:
Posta i Rätt forum! Och skriv/formulera dig rätt

Sourcer
Posts: 1183
Joined: 15 October 2005, 21:37

Post by Sourcer » 23 January 2007, 23:52

Jag såg det i /var/log/messages

Om ni undrar så tog jag bort en massa onödig information som inte var relevant (datornamn, ssh pam_unix meddelanden, lognamn, userid etc.). I alla fall så ser det ut i loggen messages.

erik_persson
Posts: 1474
Joined: 29 August 2002, 15:19

Post by erik_persson » 24 January 2007, 00:33

auth.log är helt totalt översölad med intrångsförsök.

Jag har stängt ner all trafik utom den mest nödvändiga till datorerna, men måste ha igång ssh utifrån till 2 burkar.
På en burk har jag flyttat ssh till en annan port vilket i princip eliminerat intrångsförsöken.
Tyvärr måste jag ha ssh körande på port 22 på den andra datorn, eftersom jag annars inte kan komma åt nätet utifrån från vissa ställen som inte tillåter trafik ut mot den annat än begränsade portar.
På den datorn är logen inte någon vacker syn.

För att höja säkerheten på den burken tillåter jag *bara* de användare (dvs bara jag) som verkligen behöver komma åt datorn *utifrån* att logga in via ssh, och absolut inte root.

sshd[6093]: User root not allowed because not listed in AllowUsers
sshd[6095]: Illegal user oracle from 194.149.121.119
sshd[6097]: Illegal user oracle from 194.149.121.119
sshd[6099]: User root not allowed because not listed in AllowUsers
sshd[6101]: User root not allowed because not listed in AllowUsers
etc

På ett dygn har jag haft ca 2500 försök att hacka datorn.
Ibland, när jag blir förbannad, så kollar vem som äger nätet (whois) och mailar deras abuse.

/ep

Post Reply