ComputerBase Menü
Aktuelles

BruteForce-Angriff auf privates Forum

  • Ersteller Ersteller omaliesschen
  • Erstellt am Erstellt am
Status
Für weitere Antworten geschlossen.
O

omaliesschen

Gast
Hi,

man liest ja recht häufig dass man nichts befürchten muss sofern man nichts zu verbergen hat.

Ich betreibe ein geschütztes, privates Forum um zusammen mit einem Bekannten ein spezifisches Thema zu diskutieren.

Das Thema an sich ist harmlos bringt aber leider mit sich dass es Schlagwörter erzeugt die man auf schwarzen Listen vermuten könnte. Abseits von Terror versteht sich aber dennoch Schlagwörter.

Die Verbindung zum Forum ist SSL verschlüsselt womit erwähnte Schlüsselwörter lediglich über die Telefonverbindung abgefangen werden können.

Der Server unterliegt einer täglichen Zwangstrennung und bekommt jeden Tag eine neue IP. Das ganze läuft über DynDNS. Außer dem Partner und mir kennt niemand die Adresse.

Vor ein paar Monaten gab es einen BruteForce Angriff auf den SSH Server. Der Angriff dauerte mehrere Tage und der Angreifer kannte offensichtlich alle in dem Zeitraum zugewiesenen IPs.

Zu dem Zeitpunkt scherzten wir noch darüber das es vll. von Seiten der Regierung kommt und sie die IP vom Provider bekommen. Die einzigen Alternativen wären der Partner selbst würde sich verantwortlich zeichnen oder die Leute von DynDNS.

Nach neuerlichen Leaks scheint uns der Gedanke an eine Regierungsaktion nicht mehr so abwegig was bedeuten würde man fällt recht schnell ins Blickfeld und wenn man das Interesse geweckt hat wird aktiv versucht Zugang zu beschaffen.


Ein paar Ausschnitte aus den Logs. Das ganze zieht sich über zwei Wochen und die IPs wurden recht lange genutzt. Das PW für den SSH Account ist natürlich nicht per BruteForce zu knacken. K.a. aber 30 Zeichen hats schon.


Mar 5 01:47:39 m sshd[7095]: subsystem request for sftp by user root
Mar 5 01:47:42 m sshd[7115]: Invalid user staff from 117.21.182.50
Mar 5 01:47:42 m sshd[7115]: input_userauth_request: invalid user staff [preauth]
Mar 5 01:47:42 m sshd[7115]: pam_unix(sshd:auth): check pass; user unknown
Mar 5 01:47:42 m sshd[7115]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=117.21.182.50
Mar 5 01:47:44 m sshd[7115]: Failed password for invalid user staff from 117.21.182.50 port 57139 ssh2
Mar 5 01:47:44 m sshd[7115]: Received disconnect from 117.21.182.50: 11: Bye Bye [preauth]
Mar 5 01:47:47 m sshd[7117]: Invalid user sales from 117.21.182.50
Mar 5 01:47:47 m sshd[7117]: input_userauth_request: invalid user sales [preauth]
Mar 5 01:47:47 m sshd[7117]: pam_unix(sshd:auth): check pass; user unknown
Mar 5 01:47:47 m sshd[7117]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=117.21.182.50
Mar 5 01:47:48 m sshd[7117]: Failed password for invalid user sales from 117.21.182.50 port 58157 ssh2
Mar 5 01:47:49 m sshd[7117]: Received disconnect from 117.21.182.50: 11: Bye Bye [preauth]
Mar 5 01:47:51 m sshd[7119]: Invalid user recruit from 117.21.182.50
Mar 5 01:47:51 m sshd[7119]: input_userauth_request: invalid user recruit [preauth]
Mar 5 01:47:51 m sshd[7119]: pam_unix(sshd:auth): check pass; user unknown
Mar 5 01:47:51 m sshd[7119]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=117.21.182.50
Mar 5 01:47:53 m sshd[7119]: Failed password for invalid user recruit from 117.21.182.50 port 59133 ssh2
Mar 5 01:47:53 m sshd[7119]: Received disconnect from 117.21.182.50: 11: Bye Bye [preauth]
Mar 5 01:47:55 m sshd[7121]: Invalid user alias from 117.21.182.50
Mar 5 01:47:55 m sshd[7121]: input_userauth_request: invalid user alias [preauth]
Mar 5 01:47:55 m sshd[7121]: pam_unix(sshd:auth): check pass; user unknown
Mar 5 01:47:55 m sshd[7121]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=117.21.182.50
Mar 5 01:47:57 m sshd[7121]: Failed password for invalid user alias from 117.21.182.50 port 60150 ssh2
Mar 5 01:47:58 m sshd[7121]: Received disconnect from 117.21.182.50: 11: Bye Bye [preauth]
Mar 5 01:48:00 m sshd[7123]: Invalid user office from 117.21.182.50
Mar 5 01:48:00 m sshd[7123]: input_userauth_request: invalid user office [preauth]
Mar 5 01:48:00 m sshd[7123]: pam_unix(sshd:auth): check pass; user unknown
Mar 5 01:48:00 m sshd[7123]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=117.21.182.50
Mar 5 01:48:01 m sshd[7123]: Failed password for invalid user office from 117.21.182.50 port 61201 ssh2
Mar 5 01:48:02 m sshd[7123]: Received disconnect from 117.21.182.50: 11: Bye Bye [preauth]
Mar 5 01:48:04 m sshd[7125]: Invalid user samba from 117.21.182.50
Mar 5 01:48:04 m sshd[7125]: input_userauth_request: invalid user samba [preauth]
Mar 5 01:48:04 m sshd[7125]: pam_unix(sshd:auth): check pass; user unknown
Mar 5 01:48:04 m sshd[7125]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=117.21.182.50
Mar 5 01:48:06 m sshd[7125]: Failed password for invalid user samba from 117.21.182.50 port 62128 ssh2
Mar 5 01:48:07 m sshd[7125]: Received disconnect from 117.21.182.50: 11: Bye Bye [preauth]
Mar 5 01:48:09 m sshd[7127]: Invalid user tomcat from 117.21.182.50
Mar 5 01:48:09 m sshd[7127]: input_userauth_request: invalid user tomcat [preauth]
Mar 5 01:48:09 m sshd[7127]: pam_unix(sshd:auth): check pass; user unknown
Mar 5 01:48:09 m sshd[7127]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=117.21.182.50
Mar 5 01:48:11 m sshd[7127]: Failed password for invalid user tomcat from 117.21.182.50 port 63277 ssh2
Mar 5 01:48:11 m sshd[7127]: Received disconnect from 117.21.182.50: 11: Bye Bye [preauth]
Mar 5 01:48:13 m sshd[7129]: Invalid user webadmin from 117.21.182.50
Mar 5 01:48:13 m sshd[7129]: input_userauth_request: invalid user webadmin [preauth]
Mar 5 01:48:13 m sshd[7129]: pam_unix(sshd:auth): check pass; user unknown
Mar 5 01:48:13 m sshd[7129]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=117.21.182.50
Mar 5 01:48:15 m sshd[7129]: Failed password for invalid user webadmin from 117.21.182.50 port 64295 ssh2
Mar 5 01:48:15 m sshd[7129]: Received disconnect from 117.21.182.50: 11: Bye Bye [preauth]
Mar 5 01:48:17 m sshd[7131]: Invalid user spam from 117.21.182.50
Mar 5 01:48:17 m sshd[7131]: input_userauth_request: invalid user spam [preauth]
Mar 5 01:48:17 m sshd[7131]: pam_unix(sshd:auth): check pass; user unknown
Mar 5 01:48:17 m sshd[7131]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=117.21.182.50
Mar 5 01:48:19 m sshd[7131]: Failed password for invalid user spam from 117.21.182.50 port 65199 ssh2
Mar 5 01:48:20 m sshd[7131]: Received disconnect from 117.21.182.50: 11: Bye Bye [preauth]
Mar 5 01:48:22 m sshd[7133]: Invalid user virus from 117.21.182.50
Mar 5 01:48:22 m sshd[7133]: input_userauth_request: invalid user virus [preauth]
Mar 5 01:48:22 m sshd[7133]: pam_unix(sshd:auth): check pass; user unknown
Mar 5 01:48:22 m sshd[7133]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=117.21.182.50
Mar 5 01:48:24 m sshd[7133]: Failed password for invalid user virus from 117.21.182.50 port 9802 ssh2
Mar 5 01:48:24 m sshd[7133]: Received disconnect from 117.21.182.50: 11: Bye Bye [preauth]
Mar 5 01:48:26 m sshd[7135]: Invalid user cyrus from 117.21.182.50
Mar 5 01:48:26 m sshd[7135]: input_userauth_request: invalid user cyrus [preauth]
Mar 5 01:48:26 m sshd[7135]: pam_unix(sshd:auth): check pass; user unknown
Mar 5 01:48:26 m sshd[7135]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=117.21.182.50
Mar 5 01:48:28 m sshd[7135]: Failed password for invalid user cyrus from 117.21.182.50 port 10873 ssh2
Mar 5 01:48:28 m sshd[7135]: Received disconnect from 117.21.182.50: 11: Bye Bye [preauth]
Mar 5 01:48:31 m sshd[7137]: Invalid user oracle from 117.21.182.50
Mar 5 01:48:31 m sshd[7137]: input_userauth_request: invalid user oracle [preauth]






Mar 6 15:59:14 m sshd[15341]: Failed password for invalid user cacti from 220.135.145.167 port 45918 ssh2
Mar 6 15:59:14 m sshd[15343]: Failed password for invalid user testuser from 220.135.145.167 port 45993 ssh2
Mar 6 15:59:14 m sshd[15341]: Received disconnect from 220.135.145.167: 11: Bye Bye [preauth]
Mar 6 15:59:14 m sshd[15343]: Received disconnect from 220.135.145.167: 11: Bye Bye [preauth]
Mar 6 15:59:14 m sshd[15347]: Failed password for root from 220.135.145.167 port 46140 ssh2
Mar 6 15:59:15 m sshd[15347]: Received disconnect from 220.135.145.167: 11: Bye Bye [preauth]
Mar 6 15:59:15 m sshd[15342]: Failed password for invalid user support from 220.135.145.167 port 45983 ssh2
Mar 6 15:59:15 m sshd[15342]: Received disconnect from 220.135.145.167: 11: Bye Bye [preauth]
Mar 6 15:59:15 m sshd[15349]: Failed password for invalid user test2 from 220.135.145.167 port 46492 ssh2
Mar 6 15:59:15 m sshd[15350]: Failed password for invalid user production from 220.135.145.167 port 46522 ssh2
Mar 6 15:59:15 m sshd[15351]: Failed password for invalid user kworkspace from 220.135.145.167 port 46531 ssh2
Mar 6 15:59:15 m sshd[15352]: Failed password for invalid user user1 from 220.135.145.167 port 46559 ssh2
Mar 6 15:59:16 m sshd[15349]: Received disconnect from 220.135.145.167: 11: Bye Bye [preauth]
Mar 6 15:59:16 m sshd[15354]: Failed password for invalid user info from 220.135.145.167 port 46642 ssh2
Mar 6 15:59:16 m sshd[15350]: Received disconnect from 220.135.145.167: 11: Bye Bye [preauth]
Mar 6 15:59:16 m sshd[15351]: Received disconnect from 220.135.145.167: 11: Bye Bye [preauth]
Mar 6 15:59:16 m sshd[15352]: Received disconnect from 220.135.145.167: 11: Bye Bye [preauth]
Mar 6 15:59:16 m sshd[15354]: Received disconnect from 220.135.145.167: 11: Bye Bye [preauth]
Mar 6 15:59:17 m sshd[15359]: Invalid user cacti from 220.135.145.167
Mar 6 15:59:17 m sshd[15359]: input_userauth_request: invalid user cacti [preauth]
Mar 6 15:59:17 m sshd[15359]: pam_unix(sshd:auth): check pass; user unknown
Mar 6 15:59:17 m sshd[15359]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=220-135-145-167.hinet-ip.hinet.net
Mar 6 15:59:17 m sshd[15360]: Invalid user testuser from 220.135.145.167
Mar 6 15:59:17 m sshd[15360]: input_userauth_request: invalid user testuser [preauth]
Mar 6 15:59:17 m sshd[15360]: pam_unix(sshd:auth): check pass; user unknown
Mar 6 15:59:17 m sshd[15360]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=220-135-145-167.hinet-ip.hinet.net
Mar 6 15:59:17 m sshd[15363]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=220-135-145-167.hinet-ip.hinet.net user=root
Mar 6 15:59:18 m sshd[15365]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=220-135-145-167.hinet-ip.hinet.net user=backup
Mar 6 15:59:18 m sshd[15366]: Invalid user test from 220.135.145.167
Mar 6 15:59:18 m sshd[15366]: input_userauth_request: invalid user test [preauth]
Mar 6 15:59:18 m sshd[15366]: pam_unix(sshd:auth): check pass; user unknown
Mar 6 15:59:18 m sshd[15366]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=220-135-145-167.hinet-ip.hinet.net
Mar 6 15:59:18 m sshd[15369]: Invalid user dbus from 220.135.145.167
Mar 6 15:59:18 m sshd[15369]: input_userauth_request: invalid user dbus [preauth]
Mar 6 15:59:18 m sshd[15369]: pam_unix(sshd:auth): check pass; user unknown
Mar 6 15:59:18 m sshd[15369]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=220-135-145-167.hinet-ip.hinet.net
Mar 6 15:59:18 m sshd[15368]: Invalid user profi from 220.135.145.167
Mar 6 15:59:18 m sshd[15368]: input_userauth_request: invalid user profi [preauth]
Mar 6 15:59:18 m sshd[15368]: pam_unix(sshd:auth): check pass; user unknown
Mar 6 15:59:18 m sshd[15368]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=220-135-145-167.hinet-ip.hinet.net
Mar 6 15:59:18 m sshd[15370]: Invalid user user1 from 220.135.145.167
Mar 6 15:59:18 m sshd[15370]: input_userauth_request: invalid user user1 [preauth]
Mar 6 15:59:18 m sshd[15370]: pam_unix(sshd:auth): check pass; user unknown
Mar 6 15:59:18 m sshd[15370]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=220-135-145-167.hinet-ip.hinet.net
Mar 6 15:59:18 m sshd[15372]: Invalid user info from 220.135.145.167
Mar 6 15:59:18 m sshd[15372]: input_userauth_request: invalid user info [preauth]
Mar 6 15:59:18 m sshd[15372]: pam_unix(sshd:auth): check pass; user unknown
Mar 6 15:59:18 m sshd[15372]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=220-135-145-167.hinet-ip.hinet.net
Mar 6 15:59:19 m sshd[15359]: Failed password for invalid user cacti from 220.135.145.167 port 48680 ssh2
Mar 6 15:59:19 m sshd[15360]: Failed password for invalid user testuser from 220.135.145.167 port 48752 ssh2
Mar 6 15:59:19 m sshd[15359]: Received disconnect from 220.135.145.167: 11: Bye Bye [preauth]
Mar 6 15:59:19 m sshd[15360]: Received disconnect from 220.135.145.167: 11: Bye Bye [preauth]
Mar 6 15:59:19 m sshd[15363]: Failed password for root from 220.135.145.167 port 48986 ssh2
Mar 6 15:59:20 m sshd[15363]: Received disconnect from 220.135.145.167: 11: Bye Bye [preauth]
Mar 6 15:59:20 m sshd[15365]: Failed password for backup from 220.135.145.167 port 49364 ssh2
Mar 6 15:59:20 m sshd[15366]: Failed password for invalid user test from 220.135.145.167 port 49549 ssh2
Mar 6 15:59:20 m sshd[15365]: Received disconnect from 220.135.145.167: 11: Bye Bye [preauth]
Mar 6 15:59:20 m sshd[15369]: Failed password for invalid user dbus from 220.135.145.167 port 49616 ssh2
Mar 6 15:59:20 m sshd[15368]: Failed password for invalid user profi from 220.135.145.167 port 49613 ssh2
Mar 6 15:59:20 m sshd[15370]: Failed password for invalid user user1 from 220.135.145.167 port 49660 ssh2
Mar 6 15:59:20 m sshd[15366]: Received disconnect from 220.135.145.167: 11: Bye Bye [preauth]
Mar 6 15:59:20 m sshd[15372]: Failed password for invalid user info from 220.135.145.167 port 49747 ssh2
Mar 6 15:59:20 m sshd[15369]: Received disconnect from 220.135.145.167: 11: Bye Bye [preauth]
Mar 6 15:59:20 m sshd[15368]: Received disconnect from 220.135.145.167: 11: Bye Bye [preauth]
Mar 6 15:59:20 m sshd[15370]: Received disconnect from 220.135.145.167: 11: Bye Bye [preauth]
Mar 6 15:59:21 m sshd[15372]: Received disconnect from 220.135.145.167: 11: Bye Bye [preauth]
Mar 6 15:59:21 m sshd[15377]: Invalid user cacti from 220.135.145.167
Mar 6 15:59:21 m sshd[15377]: input_userauth_request: invalid user cacti [preauth]







Mar 9 17:37:09 sshd[9674]: last message repeated 5 times
Mar 9 17:37:09 m sshd[9674]: Disconnecting: Too many authentication failures for root [preauth]
Mar 9 17:37:09 m sshd[9674]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.234.199.217 user=root
Mar 9 17:37:09 m sshd[9674]: PAM service(sshd) ignoring max retries; 6 > 3
Mar 9 17:37:09 m sshd[9676]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.234.199.217 user=root
Mar 9 17:37:12 m sshd[9676]: Failed password for root from 109.234.199.217 port 53091 ssh2
Mar 9 17:37:23 sshd[9676]: last message repeated 5 times




Was sagt die Fachwelt hierzu? Woher hat der Angreifer die IPs?
 
Zuletzt bearbeitet:
AW: Überwachung von Privatpersonen

omaliesschen schrieb:
man liest ja recht häufig dass man nichts befürchten muss sofern man nichts zu verbergen hat
Zum Vergrößern anklicken....
Wenn ich diesen Satz schon lese, bekomme ich das kalte Kotzen.
omaliesschen schrieb:
Woher hat der Angreifer die IPs
Zum Vergrößern anklicken....
Weiß ja nicht, welchen DNS-Server du benutzt (vermute mal den deines Providers), aber wenn man zum Besitzer dessen einen "guten Draht" hat, dann kommt man schon an die aufgerufenen URLs. Der Rest ist ja dann nur noch bloßes Handwerk.

Warum überhaupt Passwort-SSH-Zugang und nicht außschließlich per public keys? Ansonsten kann man auch mal die retry limits erhöhen oder source IPs entsprechend mal blacklisten, nach ein paar fehlgeschlagenen Versuchen.

P.S.: solche logs kann man prima in spoiler tags verpacken.
 
Zuletzt bearbeitet:
AW: Überwachung von Privatpersonen

DNS
Primär:
85.214.20.141 - Anti-Zensur-DNS-Server (FoeBuD)
Sekundär:
213.73.91.35 (dnscache.berlin.ccc.de)
 
AW: Überwachung von Privatpersonen

Verschoben aus dem PuG.
Hier dürfte die Frage kompetenter beantwortet werden.

Edit:
Threadtitel von "Überwachung von Privatpersonen" auf "BruteForce-Angriff auf privates Forum" angepasst.
 
Zuletzt bearbeitet:
Ach SSH-Angriffe hatte ich fast täglich bzw. jede Nacht auf meinem Server. Meistens waren es welche aus China , zumindest laut der IP. Hab einfach den SSH Port verändert und fail2ban installiert.
 
Gehe mal davon aus das du den SSH Standard Port nutzt ?
Dann sind solche Logs nicht unüblich.
Hab daher meinen SSH Server auch auf einen anderen Port gelegt, seit dem ist Ruhe. :)
 
Es wurde zwar erwähnt aber vll. sollte ich es nochmal verdeutlichen.

Die IP ändert alle 24h, außer dem Partner und mir kannte niemand die Adresse. Der Angreifer hatte immer die aktuelle IP. Woher?
 
Zuletzt bearbeitet:
Willkommen im Internet, gleiche Frage wie: Warum bekomme ich Spam Mails? Die Adresse kennt doch niemand...
 
Das Neuland grüßt zurück...:rolleyes:

gleiche Frage wie: Warum bekomme ich Spam Mails? Die Adresse kennt doch niemand...
Zum Vergrößern anklicken....

Identisch wäre die Frage dann wenn sie wie folgt formuliert wäre:

"Die Adresse ist neu angelegt und keinem dritten bekannt, darüber hinaus wird die Mailadresse täglich geändert. Woher kennt der Spamversender alle meine Adressen?"

Persönlich hatte ich noch nie Probleme mit Spam und ich hatte schon ein paar Mails. Entweder man gibt sie aus versehen irgendwo Preis, jemand anderes gibt sie weiter oder sie wird durch Zufall gefunden was in meinem Beispiel ausgeschlossen werden kann.

Es bleiben hier zwei Möglichkeiten. Der Angreifer hat immer die aktuelle IP von irgendwoher oder kennt die DynDNS Adresse. Die DynDNS Adresse herauszufinden sollte aufgrund des komplexen Charakters nicht ohne weiteres möglich sein.

Wir gehen derzeit davon aus dass es sich um neugierige Beamte handelte. Das Thema wird auch telefonisch besprochen und lässt vermutlich alle Alarmglocken anspringen. Schlüsselwörter wohin das Auge reicht.
 
Deine IP mag sich vielleicht alle 24h ändern, aber deine DynDNS URL ist doch immer die gleiche, oder vergibst du da auch täglich einen neuen Namen? (was ja irgendwie dem Sinn hinter DynDNS widersprechen würde)

Sprich, wenn der Angreifer einmal bei dir (IP) war, dann hat er auch deine DynDNS Adresse.
=> Er muss gar nicht herausfinden, wie sich deine IPs verändert haben, das erzählst du ihm ja schon brav über deine DynDNS Adresse.

Ich würde auch einfach den Port ändern.
 
Die DNS-Angaben sind ein öffentliches Verzeichnis, fürjeden einsehbar wie ein Telefonbuch, und du wunderst dich darüber woher er deine IP haben soll? oO
 
Das sind schlichtweg Scanner, die auf ganze IP-Ranges pingen, und bei Erfolg bissl SSH-Bruteforce betreiben, in der Hoffnung, einen miserabel gesicherten Server zu erwischen.

In der Fachsprache nennt man sowas "Hintergrundrauschen" - ist zwar lästig, aber nicht bedrohlich ;-)
 
Hi,

IP Range Scanner schließ ich aus da sich die IP ja ändert, der Angreifer allerdings der selbe war.

Lässt sich über die IP die DynDNS Adresse rausfinden? bzw welcher Service liefert mir die Web Adressen zu IPs?
 
Woher weißt du das es immer der selbe Angreifer war?
 
Die Ips als auch die verwendete Namensliste lassen den Verdacht zu. Es wurden über mehrere Tage die selben Accountnamen getestet. Die IPs scheinen sich an Zwangstrennungen nicht zu gestört zu haben.
 
Genauso gut könnten es verschiedene Leute sein die das gleiche oder ähnlich funktionierende Tools benutzen.
 
die regierung interessiert es vermutlich nen feuchten dreck was du in deinem forum so treibst (so lange es nicht extrem in den kriminellen bereich geht)...oder denkst du etwa, die würden für so lapalien wie urheberrechtsverletzungen (um mal ein beispiel zu nennen) so nen aufwand betreiben?

wie schon gesagt, war halt einfach hintergrund rauschen...ftp und ssh ports werden gerne mal abgeklappert
und dass der angreifer immer der selbe war lässt sich auch ganz leicht erklären:
du hast zwar dyndns und ne wechselnde ip, aber dein provider bezieht die adressen aus nem festen pool...eventuell hats jemand auf diesen ganz bestimmten adressraum abgesehen? (nein, nicht die regierung)

im übrigen denke ich, dass es weit einfacher wäre eine sicherheitslücke in der forensoftware auszunutzen, als stupides bruteforce (wenns denn jemand wirklich auf dein forum abgesehen hätte)
 
omaliesschen schrieb:
IP Range Scanner schließ ich aus da sich die IP ja ändert, der Angreifer allerdings der selbe war.
Zum Vergrößern anklicken....
Und? Was sagt dir das?
Du hast eine öffentliche, variable IP von deinem ISP. Jeder ISP hat, für jedes Gebiet, einen gewissen Block an IPs. Daher kann man z.B. auch grob anhand der IP erkennen, woher der Besucher einer Webseite kommt.
Wenn du jetzt wechselst, dann wechselst du nicht von 123.*.*.* zu 213.*.*.*, sondern du springst vielleicht im vorletzten Block um 2-3 Stellen.

Wenn jetzt, wie so oft, irgendwo in China, Russland,... ein Hacker-Server steht, dann scannt der mit seiner 100MBit+ - Leitung ganze IP-Blöcke und, sollte er eine IP mit aktivem SSH finden, wird er seine Liste an Standard-User/PW's abfeuern. Sobald du jetzt deinen Server abschaltest und die IP wechselst hört er bei der IP auf, wird dich aber durch seine Rotation schnell zufällig wieder auf dem Kieker haben.

Willkommen in der Realität, das ist Hintergrund-Rauschen. Ein echter Webserver erzeugt täglich problemlos ein mehrere MB großes auth.log mit Fehlversuchen.

Lässt sich über die IP die DynDNS Adresse rausfinden? bzw welcher Service liefert mir die Web Adressen zu IPs?
Zum Vergrößern anklicken....
Nutzt du denn DynDNS?
Dann kann man einfach mit ping, dig,... aus dem DynDNS-Eintrag die tagesaktuelle IP ablesen.
Wenn du kein DynDNS nutzt, dann entfällt das.

Oh, und nein: Wenn deine SSL-Verschlüsselung korrekt implementiert wurde, dann kann über die Telefonleitung KEINE Information abgezapft werden. Hier müssen Client oder Server direkt angegriffen werden, der Übertragungsweg ist bei anständiger Implementierung so stark verschlüsselt, dass du schon lange Würmerfraß bist, bevor das erste Stück Daten entschlüsselt ist.
 
oder denkst du etwa, die würden für so lapalien wie urheberrechtsverletzungen
Zum Vergrößern anklicken....

Wenn man gekonnt alle angebotenen Infos umschifft könnte man meinen es würde sich um Urheberrechtsverletzungen handeln. Hat man allerdings gelesen was ich schrieb sollte klar werden dass es eben nicht darum geht.

im übrigen denke ich, dass es weit einfacher wäre eine sicherheitslücke in der forensoftware auszunutzen, als stupides bruteforce (wenns denn jemand wirklich auf dein forum abgesehen hätte)
Zum Vergrößern anklicken....

Das würde voraussetzen dass das Forum auch von außen, direkt, erreichbar ist, was es nicht ist. Der Bereich ist PW geschützt.

eventuell hats jemand auf diesen ganz bestimmten adressraum abgesehen?
Zum Vergrößern anklicken....

Sure..


@Daroon
Nutzt du denn DynDNS?
Dann kann man einfach mit ping, dig,... aus dem DynDNS-Eintrag die tagesaktuelle IP ablesen.
Wenn du kein DynDNS nutzt, dann entfällt das.
Zum Vergrößern anklicken....

Ich meinte ob es umgekehrt möglich ist.

Wenn deine SSL-Verschlüsselung korrekt implementiert wurde, dann kann über die Telefonleitung KEINE Information abgezapft werden.
Zum Vergrößern anklicken....

Das hast Du vermutlich falsch verstanden. Das Forum ist sicher, das Thema allerdings wird auch telefonisch besprochen womit die Telefonverbindung der Schwachpunkt wäre. Ich bezog mich lediglich darauf dass evtl. mitgeschnittene Anrufe bestimmte Mitlistener aufhorschen lassen.


Aber hey. Ich bin nicht beratungsresitent. Hintergrundrauschen. Von mir aus.
 
Zuletzt bearbeitet:
Was du in deinem Forum machst ist dem Scanner egal. Es werden einfach automatisiert IP-Ranges gescannt und teilweise auch automatisiert angegriffen - je nachdem was der Scanner findet. Der vorletzte Beitrag hat es gut beschrieben.
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.

Ähnliche Themen

second.name
Brute-Force-Angriff auf lokale VM
2
Antworten
23
Aufrufe
1.401
Web-Schecki
W
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz