Linux 14.982 Themen, 106.376 Beiträge

Verfolgung starten Optionen

Hilfe! Hackingversuche auf meinen Server unterbinden

bechri / 12 Antworten / Flachansicht Nickles

Hallo Jungs,
vor allem aus China erfolgen auf meinen Ubuntu-Server seit mindestens 2 Tagen unerwünschte Zugriffsversuche! Gearbeitet wird offenbar mit Passwort- und Nutzerlisten um per SSH Zugriff zu erlangen.

Laut Logs war bisher kein Loginversuch erfolgreich, aber falls doch, können die ja manipuliert werden.

Was ich möchte ist, dass ab sofort die Zugriffsversuche je IP auf 2 beschränkt werden und dann der Zugriff erst nach einer bestimmten Zeit wieder versucht werden kann.

Konkret geht es mir hierbei um:

SSH-Logins
Apache2-Logins
Postfix/smtpd-Logins

...und wenn möglich, auch wenn sie nicht angegriffen werden, um:
ProFTP-Logins

Als System läuft Ubuntu 10.04

Mein Administrator-Passwort ist sehr lang und besteht aus sinnlosen Zeichen, dennoch will ich auf Grund der zu schützenden Daten alles mögliche tun, damit niemand eine Chance hat!


---------
Edit: Das hier habe ich im access.log von apache2 gefunden!

58.218.199.227 - - [10/Jul/2011:04:05:49 +0200] "GET http://www.tripingnow.com/pe.php HTTP/1.1" 401 801 "-" "Mozilla/4.0 (compatible; MSIE 6.0; W$
58.218.199.227 - - [10/Jul/2011:05:26:01 +0200] "GET http://financeande.com/feed/feed.php HTTP/1.1" 401 798 "-" "Mozilla/4.0 (compatible; MSIE 6.$
202.75.211.206 - - [10/Jul/2011:05:45:36 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 401 647 "-" "ZmEu"
202.75.211.206 - - [10/Jul/2011:05:45:37 +0200] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 401 647 "-" "ZmEu"
202.75.211.206 - - [10/Jul/2011:05:45:38 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 401 647 "-" "ZmEu"

alle dieser IPs sind mir unbekannt! Was haben die Meldungen zu bedeuten?

MfG Chris
bei Antwort benachrichtigen
schau dir mal fail2ban an ... mi~we
Sperre einfach im Firewall die ganze IP range, dan gibts kein Problem mehr. ... marcomist2003
das von mi we erwähnte fail2ban ist schon fast Pflicht auf einem Server. ... the_mic
danke für eure Antworten - seit des Einrichtens von fail2ban sind vor allem ... bechri
Die Versuche vom 58er liefen darauf hinaus herauszufinden, ob dein Server ... the_mic
super! Dann bedanke ich mich bei euch allen für die schnelle Hilfe - ihr ... bechri
Ihr haut hier mit Fachbegriffe um Euch, dass mit schwindelig wird. Denkt ... uncle sam1
the_mic uncle sam1 „Ihr haut hier mit Fachbegriffe um Euch, dass mit schwindelig wird. Denkt doch...“
Optionen

Wenn du einen Fachbegriff nicht verstehst, dann Frage bitte einfach nach statt hier rumzujammern. Gezieltes Nachfragen oder selbständige Recherche bei Verständnisschwierigkeiten sollten eigentlich selbstverständlich sein. Grundsätzlich halte ich es für unnötig, mir dreifache Arbeit zu machen und jeden Fachbegriff DAU-konform zu erklären. Die Hilfstellungen würden dadurch ins Sinnlose ausufern, verzetteln und gänzlich unlesbar werden. Und überhaupt: Der Fragesteller hat die Antwort offenbar verstanden. Da er die Ansprechsperson war und nicht du, würde ich mal meinen, dass die Begriffswahl adäquat war.

Von was für einem "identi-Link" sprichst du?

Was für Dreck willst du von deinem PC runterkriegen? Im Falle von bechri scheint keinerlei Infektion vorzuliegen, da gibt es auch nichts zu entfernen. Wenn es in deinem Fall anders ausschaut, dann erläutere diesen detailliert. Tue dies aber bei gröberen Abweichungen in einem neuen Thread, statt diesen hier zu hijacken.

cat /dev/brain > /dev/null
bei Antwort benachrichtigen
Hi, das Problem des Threadstarters, und damit auch die Antworten, sind so ... schoppes
Ihr haut hier mit Fachbegriffe um Euch, dass mit schwindelig wird Vielleicht ... Acader
Ein wirklich tolles Buch gerade für die erwähnten DAUs wozu ich mich ... saheinknabeinroesleinstehn
Denkt doch mal bitte an die User, die nicht so zertifiziert sind wie ihr. ... gelöscht_84526