Bliver jeg forsøgt hacket? (LØST)

Alle tekniske spørgsmål som ikke hører ind under de andre fora.
Spotten
Indlæg: 2135
Tilmeldt: 19. okt 2007, 18:13
IRC nickname: Sp0t
Geografisk sted: Jamaica

Bliver jeg forsøgt hacket? (LØST)

Indlæg af Spotten »

Hejsa.

Jeg kan se i min log, det var et tilfælde jeg sad og kiggede at der foregår noget suspekt.

Jeg vil dog gerne have det bekræftet så det kan blive anmeldt.

Dette er hvad jeg kan se, men der er MEGET mere end det:

http://pastebin.org/119492

På forhånd tak.
Senest rettet af Spotten 30. mar 2010, 16:12, rettet i alt 1 gang.
MB : Asus Sabertooth Z77
CPU : Intel Core I7 2600K+ 3,4GHz 8Mb L3
RAM : 4x4GB Corsair DDR3 1600MHz
HDD : LAGER : 1x1TB WD Extern USB 7200rpm + SYSTEM 1 x 180GB Corsair Force 3 Series SSD SATA6 550MB/sek
GFX : MSI 7900GT 512MB GDDR3 (Passivt Kølet)
Case : Lian Li PC-V1100 Plus
PSU : Corsair Professionel Series Gold AX1200
OS: Ubuntu 18.01LTS 64bit
tuxx
Indlæg: 476
Tilmeldt: 3. feb 2010, 09:42
IRC nickname: tuxx
Geografisk sted: Syddanmark

Re: Bliver jeg forsøgt hacket?

Indlæg af tuxx »

Ja der er nogen der forsøger at cracke din computer.

Installer "denyhosts" og så er den potte ude. Groft sagt.
// Martin | RLU # 131406
Ubuntu 12.04 LTS 'Precise Pangolin' x86-64 @ Desktop
Ubuntu 12.04 LTS 'Precise Pangolin' x86-64 @ Laptop
Lubuntu 12.04 'Precise Pangolin' i386 @ Workbench Desktop
Debian 6 'Squeeze' x86-64 @ Server
Spotten
Indlæg: 2135
Tilmeldt: 19. okt 2007, 18:13
IRC nickname: Sp0t
Geografisk sted: Jamaica

Re: Bliver jeg forsøgt hacket?

Indlæg af Spotten »

tuxx skrev:Ja der er nogen der forsøger at cracke din computer.

Installer "denyhosts" og så er den potte ude. Groft sagt.


Det er 100% ud fra den log jeg smed at nogen prøvet at bryde ind? :-/

Det er sgu da ikke så fedt at vide..

Æv!

denyhosts, hvad er det for noget?

Jeg køre en SSH server, måske derfor?

EDIT:

Hvor finder jeg deres abuse mails?
MB : Asus Sabertooth Z77
CPU : Intel Core I7 2600K+ 3,4GHz 8Mb L3
RAM : 4x4GB Corsair DDR3 1600MHz
HDD : LAGER : 1x1TB WD Extern USB 7200rpm + SYSTEM 1 x 180GB Corsair Force 3 Series SSD SATA6 550MB/sek
GFX : MSI 7900GT 512MB GDDR3 (Passivt Kølet)
Case : Lian Li PC-V1100 Plus
PSU : Corsair Professionel Series Gold AX1200
OS: Ubuntu 18.01LTS 64bit
tuxx
Indlæg: 476
Tilmeldt: 3. feb 2010, 09:42
IRC nickname: tuxx
Geografisk sted: Syddanmark

Re: Bliver jeg forsøgt hacket?

Indlæg af tuxx »

Så længe din computer er åbnet mod nettet så vil den dagligt blive udsat for angreb.

Denyhosts blokerer for de ip-adresser der forsøger login med forkert kode, dvs. gentagne angreb fra samme ip vil blive umuliggjort. Dette sker helt automatisk og du vil dagligt modtage en mail med de adresser der er blokeret.

Tjek Google for nærmere information på denyhosts. Det er ret genialt simpelt :-)

Jeg ved ikke hvor du finder abuse-info, men jeg håber ikke du har et fuldtidsjob at passe ved siden af hvis du vil anmelde hver og en der forsøger at cracke dig :-) Tror jeg får ca. 10 dagligt lige for tiden - jeg kunne ikke bestille andet hvis jeg skulle tage mig aktivt af dem.

Hvis du vil optimere din sikkerhed så luk af for alle brugere end dem der skal have adgang og nægt root adgang generelt set. Brug ssh-keys og deactivate password-entrance.

Med denyhosts og ssh-keys med deaktiveret login med password så kan du groft sagt opfatte forsøgene som fluer på din bils forrude...

https://help.ubuntu.com/community/SSH/OpenSSH/Keys

Så kan du sove roligt ihvertfald.
// Martin | RLU # 131406
Ubuntu 12.04 LTS 'Precise Pangolin' x86-64 @ Desktop
Ubuntu 12.04 LTS 'Precise Pangolin' x86-64 @ Laptop
Lubuntu 12.04 'Precise Pangolin' i386 @ Workbench Desktop
Debian 6 'Squeeze' x86-64 @ Server
Spotten
Indlæg: 2135
Tilmeldt: 19. okt 2007, 18:13
IRC nickname: Sp0t
Geografisk sted: Jamaica

Re: Bliver jeg forsøgt hacket?

Indlæg af Spotten »

tuxx skrev:Så længe din computer er åbnet mod nettet så vil den dagligt blive udsat for angreb.

Denyhosts blokerer for de ip-adresser der forsøger login med forkert kode, dvs. gentagne angreb fra samme ip vil blive umuliggjort. Dette sker helt automatisk og du vil dagligt modtage en mail med de adresser der er blokeret.

Tjek Google for nærmere information på denyhosts. Det er ret genialt simpelt :-)

Jeg ved ikke hvor du finder abuse-info, men jeg håber ikke du har et fuldtidsjob at passe ved siden af hvis du vil anmelde hver og en der forsøger at cracke dig :-) Tror jeg får ca. 10 dagligt lige for tiden - jeg kunne ikke bestille andet hvis jeg skulle tage mig aktivt af dem.

Hvis du vil optimere din sikkerhed så luk af for alle brugere end dem der skal have adgang og nægt root adgang generelt set. Brug ssh-keys og deactivate password-entrance.

Med denyhosts og ssh-keys med deaktiveret login med password så kan du groft sagt opfatte forsøgene som fluer på din bils forrude...

https://help.ubuntu.com/community/SSH/OpenSSH/Keys

Så kan du sove roligt ihvertfald.


Ok, skal man indtaste sin mail nogen steder før den ved hvortil den skal sende så?

Jeg har 2 brugere på min maskine, de skal begge kunne komme ind der hvor jeg har tilladt dem adgang, jeg ved dog ikke om root har adgang?

Hvordan finder jeg ud af det?

Root har vel egentlig altid adgang da den er over alle andre, eller hvordan foregår det?

På forhånd tak.

EDIT:

Fandt lige dette:

PermitRootLogin no

Opsætningen af dette punkt skal dikteres af din sikkerhedspolitik. Jeg har bestemt, at root ikke skal have mulighed for at logge ind via SSH -- ikke fordi jeg er bange for nogen skal få fat i root's SSH nøgle og ødelægge mine maskiner, men fordi det giver et spor i logfilerne om hvem der gør hvad ved maskinen. Dette er rart i tilfælde af, at en administrator har splittet noget ad, og ikke kan huske hvad han har skrevet.

/etc/ssh/sshd_config denne fil stod PermitRootLogin som "yes" dette er nu ændret til "no".
MB : Asus Sabertooth Z77
CPU : Intel Core I7 2600K+ 3,4GHz 8Mb L3
RAM : 4x4GB Corsair DDR3 1600MHz
HDD : LAGER : 1x1TB WD Extern USB 7200rpm + SYSTEM 1 x 180GB Corsair Force 3 Series SSD SATA6 550MB/sek
GFX : MSI 7900GT 512MB GDDR3 (Passivt Kølet)
Case : Lian Li PC-V1100 Plus
PSU : Corsair Professionel Series Gold AX1200
OS: Ubuntu 18.01LTS 64bit
tuxx
Indlæg: 476
Tilmeldt: 3. feb 2010, 09:42
IRC nickname: tuxx
Geografisk sted: Syddanmark

Re: Bliver jeg forsøgt hacket?

Indlæg af tuxx »

Ang. mail så er det mail på systemet, dvs. du tjekker din mail ved at taste 'mail' i konsollen.

Ang. brugere så kan du i sshd_config bruge 'AllowUsers brugernavn' til at tillade dem der må logge ind.

Hvis du ser i din log-fil så er det root de alle sammen forsøger sig med - de kender jo heller ikke de rigtige brugere på dit system. Og nu hvor du allerede har nægtet root adgang så skal de finde en sikkerhedsbrist i sshd-serveren for at komme ind den vej.
// Martin | RLU # 131406
Ubuntu 12.04 LTS 'Precise Pangolin' x86-64 @ Desktop
Ubuntu 12.04 LTS 'Precise Pangolin' x86-64 @ Laptop
Lubuntu 12.04 'Precise Pangolin' i386 @ Workbench Desktop
Debian 6 'Squeeze' x86-64 @ Server
Spotten
Indlæg: 2135
Tilmeldt: 19. okt 2007, 18:13
IRC nickname: Sp0t
Geografisk sted: Jamaica

Re: Bliver jeg forsøgt hacket?

Indlæg af Spotten »

tuxx skrev:Ang. mail så er det mail på systemet, dvs. du tjekker din mail ved at taste 'mail' i konsollen.

Ang. brugere så kan du i sshd_config bruge 'AllowUsers brugernavn' til at tillade dem der må logge ind.

Hvis du ser i din log-fil så er det root de alle sammen forsøger sig med - de kender jo heller ikke de rigtige brugere på dit system. Og nu hvor du allerede har nægtet root adgang så skal de finde en sikkerhedsbrist i sshd-serveren for at komme ind den vej.


Jamen hvordan starter jeg overhovedet det der "denyhosts" op? Jeg kan ikke rigtigt finde det nogen steder.

Måske bare mig der er træt.

Selvom jeg i filen /etc/ssh/sshd_config sætter den på PermitRootLogin, kan jeg sagtens logge ind som root via ssh fra egen konto, det burde jeg vel ikke kunne?
MB : Asus Sabertooth Z77
CPU : Intel Core I7 2600K+ 3,4GHz 8Mb L3
RAM : 4x4GB Corsair DDR3 1600MHz
HDD : LAGER : 1x1TB WD Extern USB 7200rpm + SYSTEM 1 x 180GB Corsair Force 3 Series SSD SATA6 550MB/sek
GFX : MSI 7900GT 512MB GDDR3 (Passivt Kølet)
Case : Lian Li PC-V1100 Plus
PSU : Corsair Professionel Series Gold AX1200
OS: Ubuntu 18.01LTS 64bit
Jarlen
Indlæg: 834
Tilmeldt: 1. jun 2008, 18:23
IRC nickname: Jarlen
Geografisk sted: København

Re: Bliver jeg forsøgt hacket?

Indlæg af Jarlen »

PermitRootLogin styrer om du kan root kan få ssh adgang. Så længe din bruger er medlem at root gruppen, kan du eskalere dine rettigheder når du først har ssh adgang med din bruger, det er 2 forskellige ting.
Jeg vil skyde på at "indbrudsforsøgene" er standardproblemet med maskiner der bare står og søger internettet tyndt efter dårligt beskyttede ssh-adgange. Hvis du ikke har noget specielt tilhørsforhold til standard portnumre kan du overveje at sætte ssh til at lytte på en anden port end standard 22, det skulle fjerne det meste af den støj du oplever.
jesperjarlskov.dk - Blog om Ubuntu, fri software og andet godt :-)
soundpartner
Indlæg: 3461
Tilmeldt: 27. sep 2008, 23:51
IRC nickname: sound
Geografisk sted: København

Re: Bliver jeg forsøgt hacket?

Indlæg af soundpartner »

Jarlen skrev:PermitRootLogin styrer om du kan root kan få ssh adgang. Så længe din bruger er medlem at root gruppen, kan du eskalere dine rettigheder når du først har ssh adgang med din bruger, det er 2 forskellige ting.
Jeg vil skyde på at "indbrudsforsøgene" er standardproblemet med maskiner der bare står og søger internettet tyndt efter dårligt beskyttede ssh-adgange. Hvis du ikke har noget specielt tilhørsforhold til standard portnumre kan du overveje at sætte ssh til at lytte på en anden port end standard 22, det skulle fjerne det meste af den støj du oplever.

og så kan man sige at med ubuntu der har man den fordel at root kontoen som standart er disablet. forstået på den måde at den er der, men den bruges ikke, og den har ikke et desideret login.
det kan man netop gøre fordi du som bruger er en del af en gruppe med administratorrettigheder og som kan bruge sudo for midlertidigt at blive root for denne ene komando
Selvudnævnt guru når det drejer sig om mobilt bredbånd

Webmaster og stifter af:
Billede
Hvor du finder scripts til en hver situation

Billede
tuxx
Indlæg: 476
Tilmeldt: 3. feb 2010, 09:42
IRC nickname: tuxx
Geografisk sted: Syddanmark

Re: Bliver jeg forsøgt hacket?

Indlæg af tuxx »

Spotten skrev:Jamen hvordan starter jeg overhovedet det der "denyhosts" op? Jeg kan ikke rigtigt finde det nogen steder.

Måske bare mig der er træt.


Når denyhosts er installeret så er den startet. Den ligger som en service du kan starte/stoppe/reboote via 'sudo /etc/init.d/denyhosts restart|start|stop'.
// Martin | RLU # 131406
Ubuntu 12.04 LTS 'Precise Pangolin' x86-64 @ Desktop
Ubuntu 12.04 LTS 'Precise Pangolin' x86-64 @ Laptop
Lubuntu 12.04 'Precise Pangolin' i386 @ Workbench Desktop
Debian 6 'Squeeze' x86-64 @ Server
Spotten
Indlæg: 2135
Tilmeldt: 19. okt 2007, 18:13
IRC nickname: Sp0t
Geografisk sted: Jamaica

Re: Bliver jeg forsøgt hacket?

Indlæg af Spotten »

Jarlen skrev:PermitRootLogin styrer om du kan root kan få ssh adgang. Så længe din bruger er medlem at root gruppen, kan du eskalere dine rettigheder når du først har ssh adgang med din bruger, det er 2 forskellige ting.
Jeg vil skyde på at "indbrudsforsøgene" er standardproblemet med maskiner der bare står og søger internettet tyndt efter dårligt beskyttede ssh-adgange. Hvis du ikke har noget specielt tilhørsforhold til standard portnumre kan du overveje at sætte ssh til at lytte på en anden port end standard 22, det skulle fjerne det meste af den støj du oplever.


Hvis jeg under "PermitRootLogin" sætter den på "no", så kan jeg stadig tilgå min ssh og logge ind som root, det burde jeg vel ikke kunne?

Hvis jeg derimod har en anden bruger f.eks, som også tilgår SSH'en, og prøver at logge ind som root, ender med "permission denied", som man vel hele tiden burde gøre? Eller er det fordi det er en selv den tillader root login og den så ikke tillader det på andre?

Hvis man f.eks bruger port 21, er den vel lige så udsat, og kan den overhovedet køre med SSH som 22 jo er lavet til efter hvad jeg har forstået på det hele.

På forhånd tak.
MB : Asus Sabertooth Z77
CPU : Intel Core I7 2600K+ 3,4GHz 8Mb L3
RAM : 4x4GB Corsair DDR3 1600MHz
HDD : LAGER : 1x1TB WD Extern USB 7200rpm + SYSTEM 1 x 180GB Corsair Force 3 Series SSD SATA6 550MB/sek
GFX : MSI 7900GT 512MB GDDR3 (Passivt Kølet)
Case : Lian Li PC-V1100 Plus
PSU : Corsair Professionel Series Gold AX1200
OS: Ubuntu 18.01LTS 64bit
Spotten
Indlæg: 2135
Tilmeldt: 19. okt 2007, 18:13
IRC nickname: Sp0t
Geografisk sted: Jamaica

Re: Bliver jeg forsøgt hacket?

Indlæg af Spotten »

tuxx skrev:
Spotten skrev:Jamen hvordan starter jeg overhovedet det der "denyhosts" op? Jeg kan ikke rigtigt finde det nogen steder.

Måske bare mig der er træt.


Når denyhosts er installeret så er den startet. Den ligger som en service du kan starte/stoppe/reboote via 'sudo /etc/init.d/denyhosts restart|start|stop'.


Ok, hvordan får man så "fortalt" denyhost hvor den skal sende mails til? Det forstår jeg ikke helt.
MB : Asus Sabertooth Z77
CPU : Intel Core I7 2600K+ 3,4GHz 8Mb L3
RAM : 4x4GB Corsair DDR3 1600MHz
HDD : LAGER : 1x1TB WD Extern USB 7200rpm + SYSTEM 1 x 180GB Corsair Force 3 Series SSD SATA6 550MB/sek
GFX : MSI 7900GT 512MB GDDR3 (Passivt Kølet)
Case : Lian Li PC-V1100 Plus
PSU : Corsair Professionel Series Gold AX1200
OS: Ubuntu 18.01LTS 64bit
tuxx
Indlæg: 476
Tilmeldt: 3. feb 2010, 09:42
IRC nickname: tuxx
Geografisk sted: Syddanmark

Re: Bliver jeg forsøgt hacket?

Indlæg af tuxx »

Spotten skrev:Ok, hvordan får man så "fortalt" denyhost hvor den skal sende mails til? Det forstår jeg ikke helt.


Den sender automatisk en intern mail til din bruger. Når du logger ind via ssh skriver den "You have new mail". Den læser du så med 'mail' kommandoen.
// Martin | RLU # 131406
Ubuntu 12.04 LTS 'Precise Pangolin' x86-64 @ Desktop
Ubuntu 12.04 LTS 'Precise Pangolin' x86-64 @ Laptop
Lubuntu 12.04 'Precise Pangolin' i386 @ Workbench Desktop
Debian 6 'Squeeze' x86-64 @ Server