Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: [CentOS][Fail2ban]SSH-Attacke von Strato-Dedicated-IP: Lohnt sich das Melden?

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 27.06.2013, 08:23   #1
thelinuxist
 
[CentOS][Fail2ban]SSH-Attacke von Strato-Dedicated-IP: Lohnt sich das Melden? - Frage

[CentOS][Fail2ban]SSH-Attacke von Strato-Dedicated-IP: Lohnt sich das Melden?



Hallo,

ich administriere einen root-Server mit CentOS, auf dem als BruteForce-Schutz Fail2Ban läuft - und das eigentlich ziemlich gut. Fail2ban übermittelt alle gebannten IP's an Blocklist.de und an mich, zu Debuggingzwecken.
Seit einiger Zeit jetzt schon kriege ich regelmäßig Meldungen zu IP-Adressen von Strato - aus deren Dedicated-Server-IP-Range, und angesichts der Logfiles kann ich nicht behaupten, dass dies False Positives wären. Da werkelt also meines Erachtens entweder ein Blackhat oder ein Bot - und ich weiß nicht, was wahrscheinlicher und was besorgniserregender ist - im Rechenzentrum von Strato.
Logwatch bestätigt mir die fehlgeschlagenen Loginversuche per SSH ebenfalls: Fünf pro Tag, von derselben IP, danach macht Fail2ban für 24 Stunden für die IP alles bei uns dicht. Tags darauf wieder dasselbe Spiel - es passiert also nix seitens Strato, obwohl ja Blocklist.de abuse-reports an die Serverbetreiber schickt - und ich bin nicht der einzige, der diese IP an blocklist.de sendet.
Mir ist schon klar, dass starke Passwörter und z.B. ein blockierter root-Login (nur per su oder sudo auf der SSH) das Problem quasi umgehen. Aber neugierig bin ich trotzdem, was da im RZ von Strato vorgeht.
Auch die Subdomains von serverkompetenz.net sind betroffen, welche ja, falls ich nicht total falsch liege, auch zu Strato gehören.
Sollte ich da mal anrufen und gezielt nach dem Problem fragen? Meint ihr, ich finde Gehör (Wenn mich jemand anrufen würde, und mir sagt, dass mein Server kompromittiert ist, dann würde ich meinen Server umkrempeln und auf links drehen, bis ich was finde)? Oder ist das den Aufwand nicht wert?
Danke für eure Erfahrungen und Ratschläge.
Logauszug (Zensiert wegen Privatsphäre und fehlendem Bock darauf, verklagt zu werden):
Code:
ATTFilter
sshd:
    Authentication Failures:
****
       root (h*******.stratoserver.net): 3 Time(s)
****
         
Dieser hier hat sich nicht am Fail2ban gestoßen, da er ja nur dreimal versucht hat, reinzukommen.
__________________
Mit freundlichen Grüßen,

thelinuxist

Der Weltrekordhalter für die unkreativsten Signaturen...

Alt 28.06.2013, 22:41   #2
markusg
/// Malware-holic
 
[CentOS][Fail2ban]SSH-Attacke von Strato-Dedicated-IP: Lohnt sich das Melden? - Standard

[CentOS][Fail2ban]SSH-Attacke von Strato-Dedicated-IP: Lohnt sich das Melden?



hi,
klar anfragen kostet ja nichts.
mal hier hinmailen, mit Serverlogs:
abuse@strato.de
abuse-server@strato.de
außerdem mal deine ssl ports ändern
__________________

__________________

Alt 29.06.2013, 13:24   #3
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
[CentOS][Fail2ban]SSH-Attacke von Strato-Dedicated-IP: Lohnt sich das Melden? - Standard

[CentOS][Fail2ban]SSH-Attacke von Strato-Dedicated-IP: Lohnt sich das Melden?



Läuft der sshd auf dem Standardport 22 bei dir? Wenn ja, sind solche Loginversuche von Bots quasi vorprogrammiert. Die Loginversuche sind aber alles nur IP-Adressen, die du Strato zuordnen kannst?

Ich hatte mal "zum Rumspielen" meinen heimischen Linuxrechner mit sshd auf Port 22 ausgestattet und von denyhosts überwachen lassen. Sehr oft wollten irgendwelche Chinesen oder Koreaner auf meinen Rechner
__________________
__________________

Alt 02.07.2013, 07:45   #4
thelinuxist
 
[CentOS][Fail2ban]SSH-Attacke von Strato-Dedicated-IP: Lohnt sich das Melden? - Standard

[CentOS][Fail2ban]SSH-Attacke von Strato-Dedicated-IP: Lohnt sich das Melden?



cosinus: Ja, der Server läuft auf Port 22 - aber da "die" versuchen, sich als root einzuloggen, ich root jedoch für den SSH-Zugriff gesperrt habe, macht mir das keine Kopfschmerzen (Außerdem habe ich ja fail2ban laufen).
markusg: Ich bin bei blocklist.de, die senden solche Abuse-Reports automatisch an die Provider.
Habe ehrlich gesagt keine große Angst, dass einer dieser Bots mein Passwort knackt - wie gesagt, dazu müsste er erst einmal einen der "normalen" User-Accounts knacken (heißt im Klartext meinen, weil alle anderen wie Postfächer und FTP-Logins keinen SSH-Access haben), was schwer wird, weil der nicht einfach thelinuxist oder christian heißt (Somit haben Bots auch keine Chance, wenn sie einfach alle Vornamen durchprobieren. So einer hat bei mir mal vorbeigeschaut, der war auch aus China).
Worum es mir eher geht ist folgendes: Wir sind bei Strato. Das heißt, möglicherweise wären wir betroffen, wenn eine IP oder gleich die ganze IP-Range von Strato gesperrt und gemeldet wird, außerdem weiß ich nicht, ob und wie wir gegen Lokalnetzwerk-Attacken geschützt sind (also vom RZ von Strato ins RZ von Strato).
Außerdem natürlich die krassen Rufeinbußen für die Firma Strato - mich wundert das schon, ich meine, das ist eine Riesenfirma, die werden ja wohl ihre Server sicher halten und ihren Kunden ein notwendiges Sicherheitsbewusstsein vermitteln können?
SSH-Ports werd' ich wohl ändern, auch wenn ja abgesehen von der Aufblähung meines Logfiles und meinen ernsten Bedenken über die Seriösität von Strato (Sorry, aber wie bereits früher gesagt, wenn bei mir was auf die abuse@ kommt, dann wird dem nachgegangen und erst dann wird Feierabend gemacht) ist ja kein Schaden entstanden.
Danke für eure Hinweise.
__________________
Mit freundlichen Grüßen,

thelinuxist

Der Weltrekordhalter für die unkreativsten Signaturen...

Alt 02.07.2013, 09:48   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
[CentOS][Fail2ban]SSH-Attacke von Strato-Dedicated-IP: Lohnt sich das Melden? - Standard

[CentOS][Fail2ban]SSH-Attacke von Strato-Dedicated-IP: Lohnt sich das Melden?



Hast du Strato dazu mal angerufen?

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu [CentOS][Fail2ban]SSH-Attacke von Strato-Dedicated-IP: Lohnt sich das Melden?
anrufen, bot, code, dasselbe, ebenfalls, erfahrungen, falsch, frage, fragen, kriege, links, logfiles, melde, melden, meldungen, passwörter, privatsphäre, problem, rum, seite, spiel, starke, total, versuche, versucht



Ähnliche Themen: [CentOS][Fail2ban]SSH-Attacke von Strato-Dedicated-IP: Lohnt sich das Melden?


  1. Exploit-Kit Rig: Verbrechen lohnt sich wieder
    Nachrichten - 06.08.2015 (0)
  2. Lohnt sich diese Grafikkarte?
    Netzwerk und Hardware - 07.07.2014 (1)
  3. Windows7 Avira/WinzipMalware melden sich mit TR/BProtevtoe.gen
    Log-Analyse und Auswertung - 09.05.2014 (29)
  4. Lohnt sich das Bios-Update?
    Netzwerk und Hardware - 26.12.2013 (17)
  5. Lohnt sich eine Reparatur?
    Netzwerk und Hardware - 19.07.2013 (7)
  6. wann lohnt sich ein internet mit vol. begrenzung?
    Netzwerk und Hardware - 15.04.2012 (8)
  7. Diverse Funde, kritische Fehler - lohnt sich Reperatur?
    Plagegeister aller Art und deren Bekämpfung - 22.08.2011 (12)
  8. Avira Neue Funktion -> Lohnt es sich?
    Antiviren-, Firewall- und andere Schutzprogramme - 20.07.2011 (7)
  9. Antivirenprogramme lassen sich nicht öffnen und Werbeantivirenprogramme melden sich ständig
    Plagegeister aller Art und deren Bekämpfung - 11.07.2011 (3)
  10. Lohnt es sich bei mir Windows 7 Professional zu kaufen
    Alles rund um Windows - 27.09.2010 (8)
  11. Lohnt es sich diesen PC zu kaufen ?
    Netzwerk und Hardware - 07.07.2008 (4)
  12. Lohnt sich neu Aufsetzen?
    Plagegeister aller Art und deren Bekämpfung - 11.03.2008 (4)
  13. Counter Strike Dedicated Server geht nicht!
    Log-Analyse und Auswertung - 03.10.2007 (2)
  14. lohnt sich der kauf?
    Netzwerk und Hardware - 06.01.2005 (17)

Zum Thema [CentOS][Fail2ban]SSH-Attacke von Strato-Dedicated-IP: Lohnt sich das Melden? - Hallo, ich administriere einen root-Server mit CentOS, auf dem als BruteForce-Schutz Fail2Ban läuft - und das eigentlich ziemlich gut. Fail2ban übermittelt alle gebannten IP's an Blocklist.de und an mich, zu - [CentOS][Fail2ban]SSH-Attacke von Strato-Dedicated-IP: Lohnt sich das Melden?...
Archiv
Du betrachtest: [CentOS][Fail2ban]SSH-Attacke von Strato-Dedicated-IP: Lohnt sich das Melden? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.