Brute Force Attacke auf meinen SSHD?

Sat Sep 3 15:11:48 CEST 2005

Liebe Listenleser,

ich saß so an meiner Workstation (hinter NAT Firewall, wo nur port 22
offen ist) und stellte fest, dass der Traffic auf eth0 hoch ging und die
Festplatten IO auch.

Als ich über jnettop feststellte, dass der sshd den traffic erzeugte,
habe ich den erstmal gestoppt. Damit war der traffic weg und alles sieht
erstmal normal aus. (Bis jetzt läuft der daemon auch nicht wieder).

Die IP von der ich glaube, dass das kam lautet: 69.44.157.22
und DNS löste zu dem Zeitpunkt als alphadelts.net auf.

War das, was ich denke: eine brute force Attacke, um über ssh auf diesen
Rechner zu kommen? Besteht die Möglichkeit, dass ein Einbruch
stattgefunden hat? Welche weitere security Maßnahmen kann ich
sinnvollerweise treffen? Sollte man den Vorfall irgendwo zur Kenntnis
bringen?

Am Ende der Mail habe ich noch einen Auszug aus meinem auth.log, der
vielleicht Hinweise liefert.

Viele Grüße
David

Folgende Einträge in /var/log/auth.log scheinen mir mit dem Vorfall in
Verbindung zu stehen:

Sep  3 14:10:14 localhost sshd[13154]: Did not receive identification
string from ::ffff:69.44.157.22
Sep  3 14:23:46 localhost sshd[13514]: Invalid user admin
from ::ffff:69.44.157.22
Sep  3 14:23:47 localhost sshd[13516]: Invalid user test
from ::ffff:69.44.157.22
Sep  3 14:23:48 localhost sshd[13518]: Invalid user guest
from ::ffff:69.44.157.22
Sep  3 14:23:49 localhost sshd[13520]: Invalid user webmaster
from ::ffff:69.44.157.22

[...] #viele ähnliche Versuche mit anderen user namen

Sep  3 14:34:32 localhost sshd[15026]: Invalid user phil
from ::ffff:69.44.157.22
Sep  3 14:34:33 localhost sshd[15029]: Invalid user philip
from ::ffff:69.44.157.22
Sep  3 14:34:34 localhost sshd[15031]: Invalid user roland
from ::ffff:69.44.157.22
Sep  3 14:34:35 localhost sshd[15033]: Invalid user samuel
from ::ffff:69.44.157.22
Sep  3 14:34:36 localhost sshd[15036]: Invalid user sammy
from ::ffff:69.44.157.22
Sep  3 14:34:37 localhost sshd[15038]: Invalid user samir
from ::ffff:69.44.157.22
Sep  3 14:34:38 localhost sshd[15040]: Invalid user sean
from ::ffff:69.44.157.22
Sep  3 14:34:39 localhost sshd[15043]: Invalid user shaun
from ::ffff:69.44.157.22
Sep  3 14:34:40 localhost sshd[15046]: Invalid user sven
from ::ffff:69.44.157.22
Sep  3 14:34:42 localhost sshd[15059]: Invalid user steve
from ::ffff:69.44.157.22
Sep  3 14:34:43 localhost sshd[15063]: Invalid user steven
from ::ffff:69.44.157.22
Sep  3 14:34:44 localhost sshd[15065]: Invalid user temp
from ::ffff:69.44.157.22
Sep  3 14:34:45 localhost sshd[15067]: Invalid user tim
from ::ffff:69.44.157.22
Sep  3 14:34:46 localhost sshd[15082]: Invalid user tom
from ::ffff:69.44.157.22
Sep  3 14:34:47 localhost sshd[15084]: Invalid user tony
from ::ffff:69.44.157.22

#hier habe ich den Deamon abgestellt
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: This is a digitally signed message part
URL: <http://lug-owl.de/pipermail/linux/attachments/20050903/9e99d730/attachment.sig>