Current time: 11-14-2024, 11:30 PM Hello There, Guest! (LoginRegister)


Post Reply 
POSSIBLE BREAK-IN ATTEMPT!
Author Message
rawe Offline
Junior Member
*

Posts: 66
Joined: Sep 2008
Reputation: 0
Post: #1
POSSIBLE BREAK-IN ATTEMPT!
Hab die Meldung gerade in meiner /var/log/auth.log.0 gefunden.
Will da jemand hacken?

Die IP ist diese http://www.newlifevoip.com/

Gruß

Ralph
10-26-2008 07:31 PM
Find all posts by this user Quote this message in a reply
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #2
RE: POSSIBLE BREAK-IN ATTEMPT!
Meinst du sowas?

reverse mapping checking getaddrinfo for adsl-f49-s133-amaral.nortenet.pt failed - POSSIBLE BREAK-IN ATTEMPT!
Das gibt's halt - heute sind soviele Script-Kiddies unterwegs - da wird immer wieder mal versucht auf deinen Server einzuloggen.
Es gibt sicherlich Programme, die das ganze Internet nach offenen Servern absuchen - so ist es halt.

Wobei der eigentliche Hinweis eher sowas ist:
Oct 19 23:22:36 debxx sshd[17033]: Invalid user webmaster from 124.195.8.147
Oct 19 23:22:37 debxx sshd[17033]: (pam_unix) check pass; user unknown
Oct 19 23:22:37 debxx sshd[17033]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=124.195.8.147
Oct 19 23:22:38 debxx sshd[17033]: Failed password for invalid user webmaster from 124.195.8.147 port 50836 ssh2
Oct 19 23:22:42 debxx sshd[17035]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=124.195.8.147 user=root
Oct 19 23:22:44 debxx sshd[17035]: Failed password for root from 124.195.8.147 port 50985 ssh2
Oct 19 23:22:48 debxx sshd[17037]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=124.195.8.147 user=ftp
Oct 19 23:22:49 debxx sshd[17037]: Failed password for ftp from 124.195.8.147 port 51140 ssh2
Oct 19 23:22:53 debxx sshd[17039]: Invalid user sales from 124.195.8.147
Oct 19 23:22:53 debxx sshd[17039]: (pam_unix) check pass; user unknown
Oct 19 23:22:53 debxx sshd[17039]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=124.195.8.147
Oct 19 23:22:55 debxx sshd[17039]: Failed password for invalid user sales from 124.195.8.147 port 51275 ssh2

danach war Schluss, da fail2ban zugeschlagen hat :-)

/J
10-26-2008 07:39 PM
Visit this user's website Find all posts by this user Quote this message in a reply
rawe Offline
Junior Member
*

Posts: 66
Joined: Sep 2008
Reputation: 0
Post: #3
RE: POSSIBLE BREAK-IN ATTEMPT!
(10-26-2008 07:39 PM)joximu Wrote:  Meinst du sowas?

reverse mapping checking getaddrinfo for adsl-f49-s133-amaral.nortenet.pt failed - POSSIBLE BREAK-IN ATTEMPT!
Das gibt's halt - heute sind soviele Script-Kiddies unterwegs - da wird immer wieder mal versucht auf deinen Server einzuloggen.
Es gibt sicherlich Programme, die das ganze Internet nach offenen Servern absuchen - so ist es halt.

Wobei der eigentliche Hinweis eher sowas ist:
Oct 19 23:22:36 debxx sshd[17033]: Invalid user webmaster from 124.195.8.147
Oct 19 23:22:37 debxx sshd[17033]: (pam_unix) check pass; user unknown
Oct 19 23:22:37 debxx sshd[17033]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=124.195.8.147
Oct 19 23:22:38 debxx sshd[17033]: Failed password for invalid user webmaster from 124.195.8.147 port 50836 ssh2
Oct 19 23:22:42 debxx sshd[17035]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=124.195.8.147 user=root
Oct 19 23:22:44 debxx sshd[17035]: Failed password for root from 124.195.8.147 port 50985 ssh2
Oct 19 23:22:48 debxx sshd[17037]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=124.195.8.147 user=ftp
Oct 19 23:22:49 debxx sshd[17037]: Failed password for ftp from 124.195.8.147 port 51140 ssh2
Oct 19 23:22:53 debxx sshd[17039]: Invalid user sales from 124.195.8.147
Oct 19 23:22:53 debxx sshd[17039]: (pam_unix) check pass; user unknown
Oct 19 23:22:53 debxx sshd[17039]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=124.195.8.147
Oct 19 23:22:55 debxx sshd[17039]: Failed password for invalid user sales from 124.195.8.147 port 51275 ssh2

danach war Schluss, da fail2ban zugeschlagen hat :-)

/J

Danke für die Antwort Dann muß ich mir momentan wohl keine allzu großen Sorgen machen, richtig?
Muß den Server dann wohl umgend absichern.

So sah es aus
Quote:Oct 26 03:40:01 www CRON[23073]: (pam_unix) session closed for user root
Oct 26 03:40:01 www CRON[23072]: (pam_unix) session closed for user root
Oct 26 03:41:58 www sshd[23095]: Invalid user globus from 209.62.3.186
Oct 26 03:41:58 www sshd[23095]: reverse mapping checking getaddrinfo for ev1s-209-62-3-186.theplanet.com failed - POSSIBLE BREAK-IN ATTEMPT!
Oct 26 03:41:58 www sshd[23095]: (pam_unix) check pass; user unknown
Oct 26 03:41:58 www sshd[23095]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=209.62.3.186
Oct 26 03:42:00 www sshd[23095]: Failed password for invalid user globus


Andere Frage:
Ich bekomme auf biegen und brechen meine Domains nicht angezeigt.
Es wird mir auch keinPW andie angegebene Adresse gesandt.
Wie es aussieht sind aber alle Ordner vorhanden.
/var/log/proftpd/proftpd.log hat diesen Eintrag


Ich weiß jetzt aber nicht, was ich da zu machen hab.
könntest Du mir bitte weiterhelfen?

Gruß

Ralph
(This post was last modified: 10-26-2008 08:06 PM by joximu.)
10-26-2008 07:53 PM
Find all posts by this user Quote this message in a reply
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #4
RE: POSSIBLE BREAK-IN ATTEMPT!
Welcher Thread?

passt ja nicht zu diesem Thema?... wir wollen doch Ordnung halten hier...
10-26-2008 08:07 PM
Visit this user's website Find all posts by this user Quote this message in a reply
Post Reply 


Forum Jump:


User(s) browsing this thread: 1 Guest(s)