---

Hej Gutter.

Jeg har nu i den seneste tid set dette i min daglige rapport fra LogWatch.

--------------------- SSHD Begin ------------------------


Failed logins from these:
admin/password from 218.93.124.211: 2 Time(s)
guest/password from 218.93.124.211: 1 Time(s)
root/password from 218.93.124.211: 3 Time(s)
test/password from 218.93.124.211: 2 Time(s)
user/password from 218.93.124.211: 1 Time(s)


Og det er en ny ip adresse hver gang, kan noget gøres for at stoppe disse
hacker forsøg?
Jeg er ikke meget for at spærre adgangen til min maskine så det kun er nogen
enkelte ip adresser der kan komme igennem da jeg tit har brug for at kunne
komme på maskinen fra diverse steder.

Men kan man lave et eller andet som gør at hvis en bestemt ip adresse
forsøger at komme på men ikke taster passwordet rigtigt så spærres der for
yderliger forsøg?

---

Rudi Hansen wrote:
> Hej Gutter.
>
> Jeg har nu i den seneste tid set dette i min daglige rapport fra LogWatch.
>
> --------------------- SSHD Begin ------------------------
>
>
> Failed logins from these:
> admin/password from 218.93.124.211: 2 Time(s)
> guest/password from 218.93.124.211: 1 Time(s)
> root/password from 218.93.124.211: 3 Time(s)
> test/password from 218.93.124.211: 2 Time(s)
> user/password from 218.93.124.211: 1 Time(s)
>
>
> Og det er en ny ip adresse hver gang, kan noget gøres for at stoppe disse
> hacker forsøg?
> Jeg er ikke meget for at spærre adgangen til min maskine så det kun er nogen
> enkelte ip adresser der kan komme igennem da jeg tit har brug for at kunne
> komme på maskinen fra diverse steder.

Det nemmeste vil være at skifte port som sshd lytter på. Dette kan gøres
i sshd_config i /etc/ssh/. Alternativt skal du begrænse adgangen til ssh
i din firewall, dvs der er kun tilladt adgang fra de ip'er du vælger,
men som du selv skriver det kan give dig problemer. Portskift vil jeg
anbefale i dit tilfælde.

>
> Men kan man lave et eller andet som gør at hvis en bestemt ip adresse
> forsøger at komme på men ikke taster passwordet rigtigt så spærres der for
> yderliger forsøg?

Dette kan laves via en gennemgang af logfilerne samt en firewall f.eks.
iptables. Når den finder "syndere" så lukker den for adgangen fra det
specifikke ip nummer.
>
>
--
Mvh Lasse Jensen
Svar via email ryger i /dev/null

---

Lasse Jensen <devnull@gymer.dk> wrote:
> Det nemmeste vil v?re at skifte port som sshd lytter p?.

Hvilken forskel/forbedring goer det?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Alex Holst wrote:
> Lasse Jensen <devnull@gymer.dk> wrote:
>
>>Det nemmeste vil v?re at skifte port som sshd lytter p?.
>
>
> Hvilken forskel/forbedring goer det?
>
Det gør at han kan tilgå sin maskine og han ikke får de entries i
loggen. De programmer der ssh brute forcers forsøger som regel kun port
22 så ved at flytte den undgås disse angreb.

Personligt mener jeg man bare skal have "sikre" password og så kun åbne
for specifikke ip'er. Men det er jo ikke altid den sidste del kan opfyldes.

--
Med venlig hilsen / Best regards
Lasse B. Jensen
Svar via email ryger i /dev/null

---

Lasse B. Jensen wrote:

> Personligt mener jeg man bare skal have "sikre" password og så kun
> åbne for specifikke ip'er. Men det er jo ikke altid den sidste del
> kan opfyldes.

Tror nu nok det script, som bruges i dette tilfælde prøver at udnytte
exploit i en ældre openssh, f.eks. 3.7

Min tanke er, mon det er bedre at have de afprøvede accounts oprettet med
nologin?

--
Take Care
Kim Emax - master|minds - Vi tænker IT for dig...
http://www.masterminds.dk - http://www.emax.dk

---

Kim Emax <newsgroup@remove-emax.dk> wrote:
> Lasse B. Jensen wrote:
>
> > Personligt mener jeg man bare skal have "sikre" password og s? kun
> > ?bne for specifikke ip'er. Men det er jo ikke altid den sidste del
> > kan opfyldes.
>
> Tror nu nok det script, som bruges i dette tilf?lde pr?ver at udnytte
> exploit i en ?ldre openssh, f.eks. 3.7

Mener du "udnytte en sikkerhedsfejl"? I saa fald, kan jeg ikke mindes
eller forstille mig at man kan udnytte en sikkerhedsfejl gennem en
raekke brute-force forsoeg.

Mon ikke der blot er mange dimser paa nettet der efterhaanden taler ssh
og bliver koblet paa med et default password?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Lasse B. Jensen <devnull@gymer.dk> wrote:
> Alex Holst wrote:
> > Lasse Jensen <devnull@gymer.dk> wrote:
> >
> >>Det nemmeste vil v?re at skifte port som sshd lytter p?.
> >
> >
> > Hvilken forskel/forbedring goer det?
> >
> Det g?r at han kan tilg? sin maskine og han ikke f?r de entries i
> loggen. De programmer der ssh brute forcers fors?ger som regel kun port
> 22 s? ved at flytte den undg?s disse angreb.

Spild af tid. Hvis angrebene ikke lykkedes, hvorfor saa bekymre sig om
dem? Skal jeg f.eks. flytte min httpd til en anden port, synes du?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Rudi Hansen <rsh_remove_this_@pobox.dk> wrote:
> Hej Gutter.
>
> Jeg har nu i den seneste tid set dette i min daglige rapport fra LogWatch.
>
> --------------------- SSHD Begin ------------------------
>
>
> Failed logins from these:
> admin/password from 218.93.124.211: 2 Time(s)
> guest/password from 218.93.124.211: 1 Time(s)
> root/password from 218.93.124.211: 3 Time(s)
> test/password from 218.93.124.211: 2 Time(s)
> user/password from 218.93.124.211: 1 Time(s)
>
>
> Og det er en ny ip adresse hver gang, kan noget g?res for at stoppe disse
> hacker fors?g?

Soerg for, at ingen af ovenstaaende kontoer findes -- eller i root's
tilfaelde -- ikke kan logge ind via ssh. Overvej at lade vaere med at bruge
passwords.

http://a.mongers.org/muppets/20040808-sshscan-1

http://mongers.org/ssh

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Alex Holst wrote:

> Soerg for, at ingen af ovenstaaende kontoer findes -- eller i root's
> tilfaelde -- ikke kan logge ind via ssh. Overvej at lade vaere med at
> bruge passwords.

Jeg ved ikke med jer, men hos mig har 'de' prøvet med *mange* flere navne,
eksempelvis:
adm
data
backup
server
mysql
oracle
apache
wwwrun
.... og mange flere.

Er der nogen indikation af hvad formålet er med de her angrebsforsøg?

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen wrote:
> Alex Holst wrote:
>
>
>>Soerg for, at ingen af ovenstaaende kontoer findes -- eller i root's
>>tilfaelde -- ikke kan logge ind via ssh. Overvej at lade vaere med at
>>bruge passwords.
>
>
> Jeg ved ikke med jer, men hos mig har 'de' prøvet med *mange* flere navne,
> eksempelvis:
> adm
> data
> backup
> server
> mysql
> oracle
> apache
> wwwrun
> ... og mange flere.
>
> Er der nogen indikation af hvad formålet er med de her angrebsforsøg?
>

Dem har jeg også set, og her er nogle andre eksempler:
rolo
iceuser
horde
cyrus
www
matt
test
www-data
operator
jane
pamela
cip52
cip51
user
web
sybase
master
account
alan
adam
frank
george
henry
john

samt masser af "root" forsøg, men efter hvad jeg kan se er det ikke
lykkedes at gætte mit rootpassword. (ja jeg kan logge direkte ind som root)

Er der forresten nogen der kan sige mig, hvorfor man kan se logindforsøg
fra IP adresser man ellers har lagt i /etc/hosts.deny?

m.v.h. Mikael

---

Mikael Hansen <mikael.hansen@DELETE.post.cybercity.dk> writes:

> Er der forresten nogen der kan sige mig, hvorfor man kan se logindforsøg
> fra IP adresser man ellers har lagt i /etc/hosts.deny?

Fordi hosts.deny er en konfigurationsfil for inetd og derfor kun
påvirker services der køres fra inetd, hvilket er ret usædvanligt at
gøre med sshd.

..Henrik

--
Jeg sidder midt i lokalet, og alligevel er det lykkedes mig at tale mig
op i et hjørne.
                   -- citat Peter Makholm

---

Henrik Christian Grove <grove@sslug.dk> wrote:

> Fordi hosts.deny er en konfigurationsfil for inetd og derfor kun
> påvirker services der køres fra inetd, hvilket er ret usædvanligt at
> gøre med sshd.

s/inetd/alle applikationer der anvender tcpwrappers/

--
Allan Joergensen

"Wackland! Home, Surreal Home!" -- Gogo Dodo

---

Henrik Christian Grove wrote:

> Fordi hosts.deny er en konfigurationsfil for inetd og derfor kun
> påvirker services der køres fra inetd, hvilket er ret usædvanligt at
> gøre med sshd.

så du siger at det ikke vil beskytte mod uønskede ssh connections at have
smækket en slemmer IP i hosts.deny?

--
Take Care
Kim Emax - master|minds - Vi tænker IT for dig...
http://www.masterminds.dk - http://www.emax.dk

---

"Kim Emax" <newsgroup@remove-emax.dk> writes:

> Henrik Christian Grove wrote:
>
> > Fordi hosts.deny er en konfigurationsfil for inetd og derfor kun
> > påvirker services der køres fra inetd, hvilket er ret usædvanligt at
> > gøre med sshd.
>
> så du siger at det ikke vil beskytte mod uønskede ssh connections at have
> smækket en slemmer IP i hosts.deny?

Ja, det var jo også det Mikael havde konstateret.

..Henrik

--
Ja selvfølgelig. I forventer vel ikke jeg skal give præcise utvetydige
oplysninger, vel? Det er det man har Makholm til.
                   -- Hanne Munkholm

---

Henrik Christian Grove <grove@sslug.dk> writes:

> > så du siger at det ikke vil beskytte mod uønskede ssh connections at have
> > smækket en slemmer IP i hosts.deny?
>
> Ja, det var jo også det Mikael havde konstateret.

Det virker nu her med OpenSSH på en gentoo-boks, og jeg har også
prøvet det på et par med debian.

etc # cat /etc/hosts.deny
sshd: all
etc # ssh localhost
ssh_exchange_identification: Connection closed by remote host
etc # rm /etc/hosts.deny
etc # ssh localhost
Password:

--
Mvh
Christoffer Olsen

---

Christoffer Olsen wrote:
> Henrik Christian Grove <grove@sslug.dk> writes:
>
>
>>>så du siger at det ikke vil beskytte mod uønskede ssh connections at have
>>>smækket en slemmer IP i hosts.deny?
>>
>>Ja, det var jo også det Mikael havde konstateret.
>
>
> Det virker nu her med OpenSSH på en gentoo-boks, og jeg har også
> prøvet det på et par med debian.

Det er så fordi ssh er oversat med tcpwrappers.
Det er ssh også i Debian.

--
Niels

---

Niels Elgaard Larsen <bov@agol.dk> writes:

> > Det virker nu her med OpenSSH på en gentoo-boks, og jeg har også
> > prøvet det på et par med debian.
>
> Det er så fordi ssh er oversat med tcpwrappers.
> Det er ssh også i Debian.

Du har ret, flaget tcpd er som standard sat i gentoo, og det får
openssh til at depende på tcp-wrappers. Der kan man se :)

--
Mvh
Christoffer Olsen

---

Kim Emax wrote:
> Henrik Christian Grove wrote:
>
>
>>Fordi hosts.deny er en konfigurationsfil for inetd og derfor kun
>>påvirker services der køres fra inetd, hvilket er ret usædvanligt at
>>gøre med sshd.
>
>
> så du siger at det ikke vil beskytte mod uønskede ssh connections at have
> smækket en slemmer IP i hosts.deny?

Det kommer an på om din ssh er oversat med tcpwrappers.
Ellers kan du bruge route reject eller iptables -j DROP.

Det vi mangler er et cron-job, der fanger den slags ssh-angreb og fodrer
IP-adresserne til portsentry.

--
Niels

---

Niels Elgaard Larsen wrote:

> Det vi mangler er et cron-job, der fanger den slags ssh-angreb og
> fodrer IP-adresserne til portsentry.

kig på bfd, som jeg postede andetsteds i tråden. Du er så måske nød til at
smide den i /etc/sysconfig/iptables filen og på en eller anden måde restarte
iptables, hvis du ikke finder det fint nok at smide den i memory

--
Take Care
Kim Emax - master|minds - Vi tænker IT for dig...
http://www.masterminds.dk - http://www.emax.dk

---

Niels Elgaard Larsen wrote:
> Det vi mangler er et cron-job, der fanger den slags ssh-angreb og fodrer
> IP-adresserne til portsentry.

Det forkommer mig, at der er brugt meget mere tid paa dette "problem"
end det er vaerd. Forstaar I hvad der sker i de logfiler der har vaeret
vist, og hvordan man undgaar at vaere saarbar?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

In <414FEB90.3080008@DELETE.post.cybercity.dk> Mikael Hansen <mikael.hansen@DELETE.post.cybercity.dk> writes:

>Er der forresten nogen der kan sige mig, hvorfor man kan se logindforsøg
>fra IP adresser man ellers har lagt i /etc/hosts.deny?

Du har ikke startet din sshd gennem (x)inetd ?

/Martin

---

Martin Moller Pedersen wrote:
> In <414FEB90.3080008@DELETE.post.cybercity.dk> Mikael Hansen <mikael.hansen@DELETE.post.cybercity.dk> writes:
>
>
>>Er der forresten nogen der kan sige mig, hvorfor man kan se logindfors?
>>fra IP adresser man ellers har lagt i /etc/hosts.deny?
>
>
> Du har ikke startet din sshd gennem (x)inetd ?
>
> /Martin
>
>

i /etc/xinetd.d har jeg følgende fil:
-rw-r--r-- 1 root root 321 feb 4 2003 sshd-xinetd
med følgende indhold:
# default: off
# description: sshd server, xinetd version. \
# Don't run the standalone version if you run \
# this.
service ssh
{
   disable   = yes
   socket_type      = stream
   wait         = no
   user         = root
   server         = /usr/sbin/sshd
   server_args      = -i
   log_on_success      += DURATION USERID
   log_on_failure      += USERID
   nice         = 10
}

er der evt. andre steder man skal se efter, eller nogle
configurationsfiler der skal efterses?

Distro: Mandrake 9.1 PPC

m.v.h. Mikael

---

Rudi Hansen wrote:

> Jeg har nu i den seneste tid set dette i min daglige rapport fra
> LogWatch.
> --------------------- SSHD Begin ------------------------
>
>
> Failed logins from these:
> admin/password from 218.93.124.211: 2 Time(s)
> guest/password from 218.93.124.211: 1 Time(s)
> root/password from 218.93.124.211: 3 Time(s)
> test/password from 218.93.124.211: 2 Time(s)
> user/password from 218.93.124.211: 1 Time(s)
>
>
> Og det er en ny ip adresse hver gang, kan noget gøres for at stoppe
> disse hacker forsøg?
> Jeg er ikke meget for at spærre adgangen til min maskine så det kun
> er nogen enkelte ip adresser der kan komme igennem da jeg tit har
> brug for at kunne komme på maskinen fra diverse steder.
>
> Men kan man lave et eller andet som gør at hvis en bestemt ip adresse
> forsøger at komme på men ikke taster passwordet rigtigt så spærres
> der for yderliger forsøg?

Du kan prøve BFD fra http://www.rfxnetworks.com/bfd.php - det er et script,
der hver 8. minut render dine logfiler igennem og banner evt. forsøg ved at
adde dem til APF firewallen. Har du ikke en sådan kan du rette conf.bfd til
til f.eks. i stedet at hælde IPen eller hosten i /etc/hosts.deny eller
iptables. Den fangede en så sent som idag for mig...

--
Take Care
Kim Emax - master|minds - Vi tænker IT for dig...
http://www.masterminds.dk - http://www.emax.dk

---

Jeg vil anbefale at gå på http://www.politiet.dk/itkrim/index.htm og anmelde
det. Jeg her gjort det og det bliver taget meget alvorligt. Send din logfil
til dem.

Lars




"Rudi Hansen" <rsh_remove_this_@pobox.dk> skrev i en meddelelse
news:MEy3d.50831$Vf.2449762@news000.worldonline.dk...
> Hej Gutter.
>
> Jeg har nu i den seneste tid set dette i min daglige rapport fra LogWatch.
>
> --------------------- SSHD Begin ------------------------
>
>
> Failed logins from these:
> admin/password from 218.93.124.211: 2 Time(s)
> guest/password from 218.93.124.211: 1 Time(s)
> root/password from 218.93.124.211: 3 Time(s)
> test/password from 218.93.124.211: 2 Time(s)
> user/password from 218.93.124.211: 1 Time(s)
>
>
> Og det er en ny ip adresse hver gang, kan noget gøres for at stoppe disse
> hacker forsøg?
> Jeg er ikke meget for at spærre adgangen til min maskine så det kun er
nogen
> enkelte ip adresser der kan komme igennem da jeg tit har brug for at kunne
> komme på maskinen fra diverse steder.
>
> Men kan man lave et eller andet som gør at hvis en bestemt ip adresse
> forsøger at komme på men ikke taster passwordet rigtigt så spærres der for
> yderliger forsøg?
>
>


---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.766 / Virus Database: 513 - Release Date: 17-09-2004

---

In <41501d9f$0$175$edfadb0f@dtext01.news.tele.dk> "Lars Bonde" <larsdaf@pc.dk.tagmigvæk> writes:

>Jeg vil anbefale at gå på http://www.politiet.dk/itkrim/index.htm og anmelde
>det. Jeg her gjort det og det bliver taget meget alvorligt. Send din logfil
>til dem.

>Lars

Hvorfor vil du dog anmelde dem ? Splide politiet tid ?

/Martin

---

Rudi Hansen wrote:
> Hej Gutter.
>
> Jeg har nu i den seneste tid set dette i min daglige rapport fra LogWatch.
>
> --------------------- SSHD Begin ------------------------
>
>
> Failed logins from these:
> admin/password from 218.93.124.211: 2 Time(s)
> guest/password from 218.93.124.211: 1 Time(s)
> root/password from 218.93.124.211: 3 Time(s)
> test/password from 218.93.124.211: 2 Time(s)
> user/password from 218.93.124.211: 1 Time(s)
>
>
> Og det er en ny ip adresse hver gang, kan noget gøres for at stoppe disse
> hacker forsøg?
> Jeg er ikke meget for at spærre adgangen til min maskine så det kun er nogen
> enkelte ip adresser der kan komme igennem da jeg tit har brug for at kunne
> komme på maskinen fra diverse steder.
>
> Men kan man lave et eller andet som gør at hvis en bestemt ip adresse
> forsøger at komme på men ikke taster passwordet rigtigt så spærres der for
> yderliger forsøg?
>
>

Pudsigt. Jeg har lige kigget i min egen log, og der ser jeg samme
mønster bare fra et andet ip-nummer. Det pudsige er at maskinen hvorfra
disse forsøg på at logge ind på min maskine kommer fra, er komplet åben!
Man kan umiddelbart logge ind med et af de navne som den selv forsøger
sig med.

Hvad skal man gøre i denne situation?

--Martin

---

Martin Agersted Jarl wrote:

> Pudsigt. Jeg har lige kigget i min egen log, og der ser jeg samme
> mønster bare fra et andet ip-nummer. Det pudsige er at maskinen
> hvorfra disse forsøg på at logge ind på min maskine kommer fra, er
> komplet åben! Man kan umiddelbart logge ind med et af de navne som
> den selv forsøger sig med.

Lugter af at den maskine er ramt og scriptet prøver videre derfra.

> Hvad skal man gøre i denne situation?

lade være med at logge ind, når du ikke har fået lov af ejeren

--
Take Care
Kim Emax - master|minds - Vi tænker IT for dig...
http://www.masterminds.dk - http://www.emax.dk

---

Kim Emax wrote:
> Martin Agersted Jarl wrote:
>
>
>>Pudsigt. Jeg har lige kigget i min egen log, og der ser jeg samme
>>mønster bare fra et andet ip-nummer. Det pudsige er at maskinen
>>hvorfra disse forsøg på at logge ind på min maskine kommer fra, er
>>komplet åben! Man kan umiddelbart logge ind med et af de navne som
>>den selv forsøger sig med.
>
>
> Lugter af at den maskine er ramt og scriptet prøver videre derfra.
>
>
>>Hvad skal man gøre i denne situation?
>
>
> lade være med at logge ind, når du ikke har fået lov af ejeren
>

For sent. Det var jo på den måde jeg opdagede at den var pivåben. Det
var i øvrigt en Redhat 9 box. Jeg loggede ind. Og skrev en besked til
root om at hans maskine var komplet åben -- og så lagde jeg på. Det er
sikkert ulovligt, men jeg tænkte jeg gjorde vedkommende en tjeneste og
ville ønske at andre gjorde det samme for mig hvis min maskine var
ligeså åben. Det har tilsyneladende virket, for maskinen var i går taget af.

--Martin

---

Mikael Hansen <mikael.hansen@DELETE.post.cybercity.dk> writes:

> Martin Moller Pedersen wrote:
>> In <414FEB90.3080008@DELETE.post.cybercity.dk> Mikael Hansen <mikael.hansen@DELETE.post.cybercity.dk> writes:
>>
>>> Er der forresten nogen der kan sige mig, hvorfor man kan se
>>> logindfors? fra IP adresser man ellers har lagt i /etc/hosts.deny?
>> Du har ikke startet din sshd gennem (x)inetd ?
>> /Martin
>>
>
> i /etc/xinetd.d har jeg følgende fil:
> -rw-r--r-- 1 root root 321 feb 4 2003 sshd-xinetd
> med følgende indhold:

> service ssh
> {
>    disable   = yes
^^^^^^^^^^^^^
Gæt selv hvad den linie betyder

Mon ikke din sshd starter fra /etc/rc?.d/?


--
Thomas Bjorn Andersen
+++ATH

---

On Thu, 23 Sep 2004 09:41:12 +0200, Martin wrote:

> For sent. Det var jo på den måde jeg opdagede at den var pivåben.
> Det var i øvrigt en Redhat 9 box. Jeg loggede ind. Og skrev en
> besked til root om at hans maskine var komplet åben -- og så lagde
> jeg på. Det er sikkert ulovligt, men jeg tænkte jeg gjorde
> vedkommende en tjeneste og ville ønske at andre gjorde det samme for
> mig hvis min maskine var ligeså åben. Det har tilsyneladende virket,
> for maskinen var i går taget af.

Det kan være der var en anden, der loggede ind og kørte /sbin/halt


Mvh.

--
"Who ees thees Kählveen?" Adam Sjøgren
asjo@koldfront.dk

---

Tak for hjælpen alle sammen, jeg har sat min sshd op til at køre med
openssh-key's så nu føler jeg mig sikker.

"Rudi Hansen" <rsh_remove_this_@pobox.dk> wrote in message
news:MEy3d.50831$Vf.2449762@news000.worldonline.dk...
> Hej Gutter.
>
> Jeg har nu i den seneste tid set dette i min daglige rapport fra LogWatch.
>
> --------------------- SSHD Begin ------------------------