# Man versucht mich zu hacken!



## meilon (26. November 2006)

Hallo!
Ich melde mich bei euch, weil es mir doch so langsam auf den Sack geht! Ich habe letztens mal Logcheck auf meinem Debian vServer installiert, um herauszufinden, warum mein Load Average manchmal jenseits der 7 liegt! Es müssen hackangriffe sein, da mir top kein Programm anzeigt, dass jetzt übermäßig viel Ressourcen verbraucht (immer alles unter 0.3 %)

Logcheck sendet mir jede Stunde sofern etwas passiert ist System und Security Events. Dort finde ich follgenden Ausschnitt:
	
	
	



```
...
Nov 26 11:07:18 arctic-media sshd[30133]: Illegal user traxdata from 64.127.105.177
Nov 26 11:07:19 arctic-media sshd[30226]: Illegal user pleomax from 64.127.105.177
Nov 26 11:07:21 arctic-media sshd[30326]: Illegal user cellphone from 64.127.105.177
Nov 26 11:07:22 arctic-media sshd[30401]: Illegal user try from 64.127.105.177
Nov 26 11:07:24 arctic-media sshd[30504]: Illegal user gotit from 64.127.105.177
Nov 26 11:07:26 arctic-media sshd[30595]: Illegal user nologin from 64.127.105.177
Nov 26 11:07:27 arctic-media sshd[30679]: Illegal user adapter from 64.127.105.177
Nov 26 11:07:29 arctic-media sshd[31784]: Illegal user cable from 64.127.105.177
Nov 26 11:07:30 arctic-media sshd[31896]: Illegal user bed from 64.127.105.177
Nov 26 11:07:32 arctic-media sshd[31992]: Illegal user nivea from 64.127.105.177
Nov 26 11:07:33 arctic-media sshd[32104]: Illegal user kamill from 64.127.105.177
Nov 26 11:07:35 arctic-media sshd[32217]: Illegal user future from 64.127.105.177
Nov 26 11:07:36 arctic-media sshd[32341]: Illegal user smith from 64.127.105.177
...
```
Das komische ist, dass ein nslookup der IP ouonline.us ergibt, welche zu einer Uni gehört.

Jetzt meine Frage, wie kann ich diesen Nervereien entgegenwirken? Kann man den ssh Server so konfigurieren, dass es nach 5 fehlgeschlagenen Loginversuchen keine Verbindungen der IP für 2 Stunden annimmt? Wenn man sshd das nicht dirket bei bringen kann, was für Tools gibts es, die diese Aufgabe übernehmen würden?

-meilon


----------



## Neurodeamon (27. November 2006)

Harrharr, Du Armer !
Willkommen im Club der Serveradmins 

Einen Blick wert ist denyhosts.


----------



## Helmut Klein (27. November 2006)

Eine einfache Abhilfe wäre den SSH-Port auf einen anderen Wert als den Standard von 22 zu legen.


----------



## kjh (27. November 2006)

root login verbieten. mit usern mit möglichst wenig rechten einloggen und mit "su" zum root wechseln...


----------



## Dennis Wronka (27. November 2006)

kjh hat gesagt.:


> root login verbieten. mit usern mit möglichst wenig rechten einloggen und mit "su" zum root wechseln...


Zwar ein guter Tipp, nur in dem Fall wohl eher weniger hilfreich, da ja, wie im Logfile zu sehen ist, immer mit anderen Usernamen probiert wird.
Ich mein ich haette mal was von einer reinen IPTables-Loesung gelesen, bin da aber nicht ganz sicher ob das wirklich 100% IPTables war oder doch noch was anderes mitgespielt hat.


----------



## Dr Dau (27. November 2006)

Hallo!


Helmut Klein hat gesagt.:


> Eine einfache Abhilfe wäre den SSH-Port auf einen anderen Wert als den Standard von 22 zu legen.


Irgendwo habe ich mal gelesen dass es Portscanner geben sollen, die auch erkennen können welche Dienste hinter den (offenen) Ports steckten.
Somit könnte man durch eine Portumbelegung allenfalls ein Kind "abschrecken".

Ansonsten könnte auch ein Blick ins Rootserver-HOWTO (inkl. weiterführender Links) auf Pro-Linux evtl. nicht schaden. 

Gruss Dr Dau


----------



## meilon (27. November 2006)

Erstmal danke für eure Links! 

DenyHosts sieht schon mal sehr gut aus und das ProLinux HOWTO sah auf den ersten Blick äußerst vielversprechend aus!

Ich "erledige" erstmal das Thema, ich melde mich, wenn ich euere Hilfe benötige!

-meilon


----------

