M
McFraggle
Jungspund
Hallo!
Ich habe hier an meinem Arbeitsplatz (Uni) einen Server mit Kubuntu Edgy aufgesetzt. Läuft wunderbar. Nun muss ich von unserem Instituts-Sysadmin erfahren, dass die IP von unserem Rechenzentrum gesperrt wurde, da sie angeblich einen SSH-Scan durchführte.
Von oberster Instanz (Irgendwo in NL) kam die Nachricht
Frage:
Wie konnte mein Server kompromittiert werden?
Wie kann ich das zukünftig verhindern???
Vielen Dank für Hilfe!!!
Ich bin angewiesen auf den Server und auf Freischaltung durch das Rechenzentrum, weil ich meist von Fern darauf zugreifen muss...
Ich habe hier an meinem Arbeitsplatz (Uni) einen Server mit Kubuntu Edgy aufgesetzt. Läuft wunderbar. Nun muss ich von unserem Instituts-Sysadmin erfahren, dass die IP von unserem Rechenzentrum gesperrt wurde, da sie angeblich einen SSH-Scan durchführte.
Von oberster Instanz (Irgendwo in NL) kam die Nachricht
Zuvor kam noch eine Mail von DFN-CERT, mit einer Weiterleitung der Uni Arizona. Auszug:...Hello,
The IP 141.XXX.XXX.XXX has just been banned by Fail2Ban after 8 attempts against service ssh.
This report was sent at (including timezone): wo apr 25 11:49:18 CEST 2007
Lines containing 141.XXX.XXX.XXX in /var/log/auth.log:
------------------------------------------------------
Apr 25 11:49:15 Delta sshd[25799]: Invalid user ashley from 141.XXX.XXX.XXX
Apr 25 11:49:15 Delta sshd[25803]: Invalid user jessica from 141.XXX.XXX.XXX
Apr 25 11:49:15 Delta sshd[25805]: Invalid user emily from 141.XXX.XXX.XXX
Apr 25 11:49:16 Delta sshd[25807]: Invalid user sarah from 141.XXX.XXX.XXX
Apr 25 11:49:16 Delta sshd[25810]: Invalid user samantha from 141.XXX.XXX.XXX
Apr 25 11:49:16 Delta sshd[25813]: Invalid user brittany from 141.XXX.XXX.XXX
Apr 25 11:49:17 Delta sshd[25815]: Invalid user amanda from 141.XXX.XXX.XXX
Apr 25 11:49:17 Delta sshd[25817]: Invalid user elizabeth from 141.XXX.XXX.XXX
Apr 25 11:49:17 Delta sshd[25821]: Invalid user taylor from 141.XXX.XXX.XXX
Apr 25 11:49:18 Delta sshd[25823]: Invalid user megan from 141.XXX.XXX.XXX
Apr 25 11:49:18 Delta sshd[25834]: Invalid user stephanie from 141.XXX.XXX.XXX
------------------------------------------------------
Die IP ist wirklich die meines Servers, aber ich oder andere mit Zugang zum Server haben das bestimmt nicht gemacht....141.XXX.XXX.XXX is likely compromised, and was blocked by arizona.edu for looking for security holes.
Contact ********** for more information.
University of Arizona SIRT
(520) 626 0100
First 20 log entries with last two octets of local IPs removed follow. Time zone is GMT -07:00
Start End Sif SrcIPaddress SrcP DIf DstIPaddress DstP P Fl Pkts Octets
0424.22:42:28.842 0424.22:42:31.850 6 141.XXX.XXX.XXX 53933 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:24.601 0424.22:42:24.601 72 150.135.xxx.xxx 22 6 141.XXX.XXX.XXX 41431 6 0 1 40
0424.22:42:24.652 0424.22:42:27.690 6 141.XXX.XXX.XXX 60290 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:28.855 0424.22:42:31.857 6 141.XXX.XXX.XXX 49041 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:29.439 0424.22:42:32.440 6 141.XXX.XXX.XXX 60858 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:30.276 0424.22:42:33.282 6 141.XXX.XXX.XXX 51812 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:30.257 0424.22:42:33.259 6 141.XXX.XXX.XXX 50667 0 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:28.824 0424.22:42:31.828 6 141.XXX.XXX.XXX 51663 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:28.833 0424.22:42:31.841 6 141.XXX.XXX.XXX 48095 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:33.886 0424.22:42:34.161 72 150.135.xxx.xxx 22 6 141.XXX.XXX.XXX 44199 6 0 4 241
0424.22:42:29.135 0424.22:42:32.135 6 141.XXX.XXX.XXX 38717 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:28.860 0424.22:42:30.267 72 150.135.xxx.xxx 22 6 141.XXX.XXX.XXX 54724 6 0 4 236
0424.22:42:28.820 0424.22:42:31.824 6 141.XXX.XXX.XXX 44374 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:30.252 0424.22:42:33.252 6 141.XXX.XXX.XXX 59631 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:28.843 0424.22:42:31.852 6 141.XXX.XXX.XXX 55137 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:28.855 0424.22:42:31.853 6 141.XXX.XXX.XXX 55866 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:29.440 0424.22:42:32.441 6 141.XXX.XXX.XXX 55731 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:28.799 0424.22:42:31.805 6 141.XXX.XXX.XXX 52379 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:28.799 0424.22:42:31.803 6 141.XXX.XXX.XXX 60244 0 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:30.279 0424.22:42:33.284 6 141.XXX.XXX.XXX 34371 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:28.792 0424.22:42:31.797 6 141.XXX.XXX.XXX 52082 0 150.135.xxx.xxx 22 6 0 2 120
<snip>
Frage:
Wie konnte mein Server kompromittiert werden?
Wie kann ich das zukünftig verhindern???
Vielen Dank für Hilfe!!!
Ich bin angewiesen auf den Server und auf Freischaltung durch das Rechenzentrum, weil ich meist von Fern darauf zugreifen muss...