Bliver jeg forsøgt hacket? (LØST)

[Spotten]

Hejsa.

Jeg kan se i min log, det var et tilfælde jeg sad og kiggede at der foregår noget suspekt.

Jeg vil dog gerne have det bekræftet så det kan blive anmeldt.

Dette er hvad jeg kan se, men der er MEGET mere end det:

http://pastebin.org/119492

På forhånd tak.

[tuxx]

Ja der er nogen der forsøger at cracke din computer.

Installer "denyhosts" og så er den potte ude. Groft sagt.

[Spotten]

Ja der er nogen der forsøger at cracke din computer.

Installer "denyhosts" og så er den potte ude. Groft sagt.

Det er 100% ud fra den log jeg smed at nogen prøvet at bryde ind? :-/

Det er sgu da ikke så fedt at vide..

Æv!

denyhosts, hvad er det for noget?

Jeg køre en SSH server, måske derfor?

EDIT:

Hvor finder jeg deres abuse mails?

[tuxx]

Så længe din computer er åbnet mod nettet så vil den dagligt blive udsat for angreb.

Denyhosts blokerer for de ip-adresser der forsøger login med forkert kode, dvs. gentagne angreb fra samme ip vil blive umuliggjort. Dette sker helt automatisk og du vil dagligt modtage en mail med de adresser der er blokeret.

Tjek Google for nærmere information på denyhosts. Det er ret genialt simpelt

Jeg ved ikke hvor du finder abuse-info, men jeg håber ikke du har et fuldtidsjob at passe ved siden af hvis du vil anmelde hver og en der forsøger at cracke dig Tror jeg får ca. 10 dagligt lige for tiden - jeg kunne ikke bestille andet hvis jeg skulle tage mig aktivt af dem.

Hvis du vil optimere din sikkerhed så luk af for alle brugere end dem der skal have adgang og nægt root adgang generelt set. Brug ssh-keys og deactivate password-entrance.

Med denyhosts og ssh-keys med deaktiveret login med password så kan du groft sagt opfatte forsøgene som fluer på din bils forrude...

https://help.ubuntu.com/community/SSH/OpenSSH/Keys

Så kan du sove roligt ihvertfald.

[Spotten]

Så længe din computer er åbnet mod nettet så vil den dagligt blive udsat for angreb.

Denyhosts blokerer for de ip-adresser der forsøger login med forkert kode, dvs. gentagne angreb fra samme ip vil blive umuliggjort. Dette sker helt automatisk og du vil dagligt modtage en mail med de adresser der er blokeret.

Tjek Google for nærmere information på denyhosts. Det er ret genialt simpelt

Jeg ved ikke hvor du finder abuse-info, men jeg håber ikke du har et fuldtidsjob at passe ved siden af hvis du vil anmelde hver og en der forsøger at cracke dig Tror jeg får ca. 10 dagligt lige for tiden - jeg kunne ikke bestille andet hvis jeg skulle tage mig aktivt af dem.

Hvis du vil optimere din sikkerhed så luk af for alle brugere end dem der skal have adgang og nægt root adgang generelt set. Brug ssh-keys og deactivate password-entrance.

Med denyhosts og ssh-keys med deaktiveret login med password så kan du groft sagt opfatte forsøgene som fluer på din bils forrude...

https://help.ubuntu.com/community/SSH/OpenSSH/Keys

Så kan du sove roligt ihvertfald.

Ok, skal man indtaste sin mail nogen steder før den ved hvortil den skal sende så?

Jeg har 2 brugere på min maskine, de skal begge kunne komme ind der hvor jeg har tilladt dem adgang, jeg ved dog ikke om root har adgang?

Hvordan finder jeg ud af det?

Root har vel egentlig altid adgang da den er over alle andre, eller hvordan foregår det?

På forhånd tak.

EDIT:

Fandt lige dette:

PermitRootLogin no

Opsætningen af dette punkt skal dikteres af din sikkerhedspolitik. Jeg har bestemt, at root ikke skal have mulighed for at logge ind via SSH -- ikke fordi jeg er bange for nogen skal få fat i root's SSH nøgle og ødelægge mine maskiner, men fordi det giver et spor i logfilerne om hvem der gør hvad ved maskinen. Dette er rart i tilfælde af, at en administrator har splittet noget ad, og ikke kan huske hvad han har skrevet.

/etc/ssh/sshd_config denne fil stod PermitRootLogin som "yes" dette er nu ændret til "no".

[tuxx]

Ang. mail så er det mail på systemet, dvs. du tjekker din mail ved at taste 'mail' i konsollen.

Ang. brugere så kan du i sshd_config bruge 'AllowUsers brugernavn' til at tillade dem der må logge ind.

Hvis du ser i din log-fil så er det root de alle sammen forsøger sig med - de kender jo heller ikke de rigtige brugere på dit system. Og nu hvor du allerede har nægtet root adgang så skal de finde en sikkerhedsbrist i sshd-serveren for at komme ind den vej.

[Spotten]

Ang. mail så er det mail på systemet, dvs. du tjekker din mail ved at taste 'mail' i konsollen.

Ang. brugere så kan du i sshd_config bruge 'AllowUsers brugernavn' til at tillade dem der må logge ind.

Hvis du ser i din log-fil så er det root de alle sammen forsøger sig med - de kender jo heller ikke de rigtige brugere på dit system. Og nu hvor du allerede har nægtet root adgang så skal de finde en sikkerhedsbrist i sshd-serveren for at komme ind den vej.

Jamen hvordan starter jeg overhovedet det der "denyhosts" op? Jeg kan ikke rigtigt finde det nogen steder.

Måske bare mig der er træt.

Selvom jeg i filen /etc/ssh/sshd_config sætter den på PermitRootLogin, kan jeg sagtens logge ind som root via ssh fra egen konto, det burde jeg vel ikke kunne?

[Jarlen]

PermitRootLogin styrer om du kan root kan få ssh adgang. Så længe din bruger er medlem at root gruppen, kan du eskalere dine rettigheder når du først har ssh adgang med din bruger, det er 2 forskellige ting.
Jeg vil skyde på at "indbrudsforsøgene" er standardproblemet med maskiner der bare står og søger internettet tyndt efter dårligt beskyttede ssh-adgange. Hvis du ikke har noget specielt tilhørsforhold til standard portnumre kan du overveje at sætte ssh til at lytte på en anden port end standard 22, det skulle fjerne det meste af den støj du oplever.

[soundpartner]

PermitRootLogin styrer om du kan root kan få ssh adgang. Så længe din bruger er medlem at root gruppen, kan du eskalere dine rettigheder når du først har ssh adgang med din bruger, det er 2 forskellige ting.
Jeg vil skyde på at "indbrudsforsøgene" er standardproblemet med maskiner der bare står og søger internettet tyndt efter dårligt beskyttede ssh-adgange. Hvis du ikke har noget specielt tilhørsforhold til standard portnumre kan du overveje at sætte ssh til at lytte på en anden port end standard 22, det skulle fjerne det meste af den støj du oplever.

og så kan man sige at med ubuntu der har man den fordel at root kontoen som standart er disablet. forstået på den måde at den er der, men den bruges ikke, og den har ikke et desideret login.
det kan man netop gøre fordi du som bruger er en del af en gruppe med administratorrettigheder og som kan bruge sudo for midlertidigt at blive root for denne ene komando

[tuxx]

Jamen hvordan starter jeg overhovedet det der "denyhosts" op? Jeg kan ikke rigtigt finde det nogen steder.

Måske bare mig der er træt.

Når denyhosts er installeret så er den startet. Den ligger som en service du kan starte/stoppe/reboote via 'sudo /etc/init.d/denyhosts restart|start|stop'.

[Spotten]

PermitRootLogin styrer om du kan root kan få ssh adgang. Så længe din bruger er medlem at root gruppen, kan du eskalere dine rettigheder når du først har ssh adgang med din bruger, det er 2 forskellige ting.
Jeg vil skyde på at "indbrudsforsøgene" er standardproblemet med maskiner der bare står og søger internettet tyndt efter dårligt beskyttede ssh-adgange. Hvis du ikke har noget specielt tilhørsforhold til standard portnumre kan du overveje at sætte ssh til at lytte på en anden port end standard 22, det skulle fjerne det meste af den støj du oplever.

Hvis jeg under "PermitRootLogin" sætter den på "no", så kan jeg stadig tilgå min ssh og logge ind som root, det burde jeg vel ikke kunne?

Hvis jeg derimod har en anden bruger f.eks, som også tilgår SSH'en, og prøver at logge ind som root, ender med "permission denied", som man vel hele tiden burde gøre? Eller er det fordi det er en selv den tillader root login og den så ikke tillader det på andre?

Hvis man f.eks bruger port 21, er den vel lige så udsat, og kan den overhovedet køre med SSH som 22 jo er lavet til efter hvad jeg har forstået på det hele.

På forhånd tak.

[Spotten]

Jamen hvordan starter jeg overhovedet det der "denyhosts" op? Jeg kan ikke rigtigt finde det nogen steder.

Måske bare mig der er træt.

Når denyhosts er installeret så er den startet. Den ligger som en service du kan starte/stoppe/reboote via 'sudo /etc/init.d/denyhosts restart|start|stop'.

Ok, hvordan får man så "fortalt" denyhost hvor den skal sende mails til? Det forstår jeg ikke helt.

[tuxx]

Ok, hvordan får man så "fortalt" denyhost hvor den skal sende mails til? Det forstår jeg ikke helt.

Den sender automatisk en intern mail til din bruger. Når du logger ind via ssh skriver den "You have new mail". Den læser du så med 'mail' kommandoen.