Neue Hacker Atacke?
Habe mich gerade mal wieder auf meinem Root Server angemeldet und nach dem Login sehe ich folgende Meldung:
Last failed login: Sun Nov 6 XX:XX:XX CET 2011 from 222.75.152.67 on ssh:notty There were 220 failed login attempts since the last successful login. Have a lot of fun...
Mist, da versucht mal wieder einer, meinen Server zu hacken. In den Whois Daten sehe ich, dass der Hacker offensichtlich aus China kommt.
whois 222.75.152.67 % [whois.apnic.net node-1] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html inetnum: 222.75.152.0 - 222.75.152.255 netname: CHINANET-NX descr: ningxia network management country: CN admin-c: CH93-AP tech-c: ZL127-AP mnt-by: MAINT-CHINANET-NINGXIA changed: [email protected] 20071210 status: ALLOCATED NON-PORTABLE source: APNIC person: Chinanet Hostmaster nic-hdl: CH93-AP e-mail: [email protected] address: No.31 ,jingrong street,beijing address: 100032 phone: +86-10-58501724 fax-no: +86-10-58501724 country: CN changed: [email protected] 20070416 mnt-by: MAINT-CHINANET source: APNIC person: zhaolong li address: 44 jiefangdong street,ningxia,750001, address: china country: CN phone: +86-951-6018000 fax-no: +86-951-6019000 e-mail: [email protected] nic-hdl: ZL127-AP mnt-by: MAINT-NEW changed: [email protected] 20010220 source: APNIC
Bisher hat er noch nichts erreicht, aber ich sollte wohl erst mal das Terminal offen lassen, um zu beobachten, ob es dem Hacker noch gelingt, sich als root auf meinem Server anzumelden. Mit dem Kommando who kann ich ja beobachten, wer gerade angemeldet ist.
who root pts/0 Nov 6 17:34 (xxxxxxxxxxxx.pool.mediaways.net)
Auch wenn ich diese Attacke erst mal als eher ungefährlich ansehe, so bin ich doch etwas aufmerksam und werde den Server mal genauer beobachten, da mein neuer Server jetzt schon in das Visier der Hacker geraten ist.
Weiterführende Themen:
6 Responses to “Neue Hacker Atacke?”
Wenn du ein gutes Passwort hast, würde ich mir da erst mal keine großen Gedanken machen, solang sie wirklich nur versuchen, stumpf das Passwort zu raten – bei entsprechender Passwortlänge sitzen sie daran eine ganze Weile …
Es im Auge zu behalten, kann natürlich nicht schaden.
November 7th, 2011 at 08:49
SSH-Port verlegen hilft sonst auch immer wieder gegen solche Angriffe auf Server. Sicheres Passwort ist natürlich extrem wichtig.
November 8th, 2011 at 18:56
Sender doch mal den Port vom Sahm Server hat bei mir auch geklappt
Mfg Ronny
November 9th, 2011 at 12:10
Hi Michael,
wir können Dir nächste Woche fail2ban installieren. Hab ich bei mir auch laufen. Der Dienst überwacht SSH-Anmelde-Versuche und sperrt die Absender-IP bei mehreren erfolglosen Versuchen für einen beliebigen Zeitraum. Ist fix erledigt.
Gruß,
Thomas
November 13th, 2011 at 12:15
Super Idee. Evtl. habe ich morgen mal einen Moment Zeit. Ich komme dann einfach mal kurz rüber
November 14th, 2011 at 20:57
Du kannst auch noch einen kleinen Eintrag in .bashrc setzen und dir automatisch eine E-Mail zu senden, wenn sich jemand auf deinen Server einloggt. Eine kleine Erklärung dazu findest Du hier: http://faq.hosterplus.de/rootserver/5/82-wie,bekomme,ich,heraus,ob,jemand,sich,auf,meinen,server,eingeloggt,hat.html
November 20th, 2011 at 00:13