xDSL.at

von **sheikhstone** » Mi 23 Mär, 2011 15:45

zufällig hab ich grad im log vom pirelli gestöbert und bin auf folgendes gestoßen: siehe bild

könnte das ein möglicher loginversuch von dieser ip adresse sein?? schon merkwürdig

aja, mein ssh is wanseitig accessible, aber ich hab ein 2km langes passwort, was vermutlich reichen dürfte...

von **lordpeng** » Mi 23 Mär, 2011 16:24

ja ... die IP gehört einem koreanischen ISP

von **dadaniel** » Mi 23 Mär, 2011 16:25

Jep genau das, aber das ist eh normal... die ganzen BotNetze usw müssn ja auch zu etwas gut sein

Code: Alles auswählen: inetnum: 122.32.0.0 - 122.47.255.255 netname: Xpeed descr: POWERCOMM country: KR admin-c: IM333-AP tech-c: IM333-AP descr: ************************************************ descr: Allocated to KRNIC Member. descr: If you would like to find assignment descr: information in detail please refer to descr: the KRNIC Whois Database at: descr: "http://whois.nida.or.kr/english/index.html" descr: ************************************************ status: Allocated Portable mnt-by: MNT-KRNIC-AP changed: [email protected] 20060724 source: APNIC person: IP Manager nic-hdl: IM333-AP e-mail: [email protected] e-mail: [email protected] address: 537-18 Bangbae-dong Seocho-gu SEOUL, 137-060 phone: +82-2-2086-5434 fax-no: +82-2-2086-5419 country: KR changed: [email protected] 20070103 mnt-by: MNT-KRNIC-AP source: APNIC inetnum: 122.32.0.0 - 122.47.255.255 netname: Xpeed-KR descr: LG POWERCOMM country: KR admin-c: IA469-KR tech-c: IM469-KR status: ALLOCATED PORTABLE mnt-by: MNT-KRNIC-AP remarks: This information has been partially mirrored by APNIC from remarks: KRNIC. To obtain more specific information, please use the remarks: KRNIC whois server at whois.krnic.net. changed: [email protected] source: KRNIC person: IP Administrator address: Seoul Sangam-dong Mapo-gu address: 1600 country: KR phone: +82-2-2086-5935 e-mail: [email protected] nic-hdl: IA469-KR mnt-by: MNT-KRNIC-AP changed: [email protected] source: KRNIC person: IP Manager address: Seoul Sangam-dong Mapo-gu address: 1600 country: KR phone: +82-2-2086-5935 e-mail: [email protected] nic-hdl: IM469-KR mnt-by: MNT-KRNIC-AP changed: [email protected] source: KRNIC

von **sheikhstone** » Mi 23 Mär, 2011 16:30

hmm eigenartig, kanns sein, da ich ja ne dynamische ip hab von der ta, das der letzte besitzer dieser ip eben irgendwie in verbindung war mit der koreanischen ip und das dann durch zufall auf mich gefallen is? bin naemlich grad erst nach hause kommen und es war keiner online hier...

von **lordpeng** » Mi 23 Mär, 2011 16:40

>bin naemlich grad erst nach hause kommen und es war keiner online hier...
IMO schaut das nach einem gezielten angriff aufs SSH service aus

von **wicked_one** » Mi 23 Mär, 2011 17:29

Schreib halt der Abuse, da is da drüben halt wem fad.

wenn ich jedes mal ein Pahö gemacht hätte, wenn jemand meinen Linux Server fernsteuern wollte, käme ich mit abusemails schreiben nicht nach.

von **ANOther** » Mi 23 Mär, 2011 18:04

sheikhstone hat geschrieben:könnte das ein möglicher loginversuch von dieser ip adresse sein?? schon merkwürdig

aja, mein ssh is wanseitig accessible, aber ich hab ein 2km langes passwort, was vermutlich reichen dürfte...

nicht "könnte", IST...

btw
da ich nicht denke, dass die ganze welt dein modem fernwarten muss, daher könnte man mal ipblöcke, die dies nicht können müssen, aussperren...

aja, ein langes passwort ist nicht unbedingt sicher, musste auch AMAZON erfahren:

Das Problem: Diese Passwörter werden nach 8 Stellen einfach abgeschnitten und auch die Groß- und Kleinschreibung wird ignoriert.

Das bedeutet: Wer als Passwort "passwort" verwendet, kann sich auch mit "passwort1234" oder "PassWort" anmelden. Schlimmer noch, wer "fj_Z$2Krs!npdC05" verwendet, kann sich auch mit "fj_Z$2Kr" anmelden. Ein längeres Passwort bringt also nicht mehr Sicherheit.

QUELLE (fixed)

von **zid** » Mi 23 Mär, 2011 18:22

>"...IMO schaut das nach einem gezielten angriff aufs SSH service aus..."
von einem gezielten angriff würd ich jetzt nicht reden. es hat schon immer hinreichend vielen affen gegeben, die das ganze netz auf offene standardports abscannen. dann stoßen sie irgendwo auf einen offenen port und gehen halt die standardpw.'s durch. unlängst wollte einer unbedingt mit ssh auf das st eines bekannten (war auf tcp/22 wanseitig offen):

Code: Alles auswählen: =>syslog msgbuf show <37> Feb 13 08:47:53 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:47:57 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:48:01 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:48:05 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:48:09 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:48:13 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:48:17 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:48:21 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:48:25 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:48:29 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:48:33 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:48:37 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:48:41 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:48:45 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:48:49 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:48:53 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:48:57 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:49:01 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:49:05 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:49:09 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:49:13 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:49:17 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:49:21 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:49:25 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:49:29 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:49:33 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:49:37 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:49:41 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:49:45 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:49:49 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:49:53 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:49:57 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:50:01 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:50:05 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:50:09 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:50:13 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:50:17 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:50:21 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:50:25 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:50:29 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:50:33 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:50:37 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:50:41 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:50:45 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:50:49 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:50:53 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:50:57 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:51:01 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:51:05 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:51:09 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:51:13 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:51:17 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:51:21 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:51:25 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:51:29 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:51:33 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:51:37 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:51:41 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:51:45 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:51:49 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:51:53 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:51:57 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:52:01 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:52:05 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:52:09 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:52:13 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:52:17 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:52:21 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:52:25 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:52:29 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:52:33 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:52:37 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:52:41 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:52:45 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:52:49 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:52:53 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:52:57 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:53:01 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:53:05 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:53:09 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:53:13 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:53:17 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:53:21 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:53:25 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:53:29 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:53:33 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:53:37 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:53:41 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:53:45 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:53:49 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:53:53 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:53:57 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:54:01 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:54:05 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:54:09 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:54:13 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:54:17 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:54:21 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:54:25 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:54:29 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:54:33 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:54:37 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:54:41 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:54:45 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:54:49 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:54:53 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:54:57 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:55:01 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:55:05 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:55:09 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:55:13 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:55:17 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:55:21 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:55:25 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:55:29 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:55:33 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:55:37 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:55:41 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:55:45 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:55:49 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:55:53 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:55:57 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:56:01 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:56:05 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:56:09 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:56:13 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:56:17 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:56:21 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:56:25 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:56:29 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:56:33 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:56:37 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:56:41 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:56:45 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:56:49 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:56:53 LOGOUT session of user killed (118.97.246.31) <37> Feb 13 08:58:27 LOGOUT session of user gmail killed (72.55.148.230) <37> Feb 13 09:17:54 LOGOUT session of user fastweb killed (72.55.148.230) <37> Feb 13 09:39:34 LOGOUT session of user newsletter killed (72.55.148.230) <37> Feb 13 10:11:36 LOGOUT session of user visitor killed (72.55.148.230) <37> Feb 13 10:42:23 LOGOUT session of user ftpuser killed (72.55.148.230) <37> Feb 13 10:58:10 LOGOUT session of user username killed (72.55.148.230) ... ...

da ichs nicht gern hab, daß mir die logs zugemüllt werden, hab ich halt eine acl gesetzt. jetzt ist ruhe.
alternativ (nicht so gut) könnte man die wartungsdienste auch auf non-standardports laufen lassen. früher war ich nicht so begeistert von dieser idee, aber es bringts wirklich. der größte müll ist einmal weg.

lg
zid

//edit:
>"...nicht "könnte", IST..."
yep, der typ wollte sich als user "teste" anmelden.

von **sheikhstone** » Mi 23 Mär, 2011 21:55

aber eins check ich nicht, mein ssh port is ja eigentlich nur der 22er, und der koreanische würstelprinz hat in richtung 36000 37000 probiert zu connecten... das sollte ja sowieso nicht gehen oder? wieso kommt der dann überhaupt bis zur user und passworteingabe?

wie schnell würd das theoretisch gehn so ein random passwort auf trail & error basis zu knacken?

von **gizzi** » Mi 23 Mär, 2011 22:31

sheikhstone hat geschrieben:wie schnell würd das theoretisch gehn so ein random passwort auf trail & error basis zu knacken?

Das kannst du hier errechnen lassen: http://www.hammerofgod.com/passwordcheck.aspx

von **dadaniel** » Do 24 Mär, 2011 08:08

sheikhstone hat geschrieben:der koreanische würstelprinz hat in richtung 36000 37000 probiert zu connecten... das sollte ja sowieso nicht gehen oder? wieso kommt der dann überhaupt bis zur user und passworteingabe?

36000-37000 war sein QUELLport, also kannst dir eh vorstellen wieviel solcher Verbindungen der gleichzeitig aufmacht. Der durchsucht ganze IP Bereiche nach Opfern

von **wicked_one** » Do 24 Mär, 2011 08:23

Dem is einfach fad, Neben WoW Gold farmen müssen sich die koreanischen Buben ein wenig ablenken.

Machst halt WAN wieder dicht, wenn dich das beunruhigt. oder hast du angst, dass dein Pirelli davonläuft...

>>der koreanische würstelprinz hat in richtung 36000 37000 probiert zu connecten

Bin ich froh, dass der Würstelprinz der am anderen ende des Ozeans ist ......... oder? :diabolic:

von **lordpeng** » Do 24 Mär, 2011 09:04

wennst dir des risikos ned bewusst bist bzw. deine logs ned interpretieren kannst, dann isses möglicherweise sinnvoller die secure shell wan seitig dicht zu machen ...

von **sheikhstone** » Do 24 Mär, 2011 10:58

ok laut http://www.hammerofgod.com/passwordcheck.aspx dauerts 35 trillionen! jahre mein passwort zu knacken...

zu meinem entsetzen checkt der pirelli leider wirklich nur die ersten 8 characters vom password :eek:

sprich somit is man bei 44 jahren im worst case scenario

however

mir geht das dauernde zugemüllt sein des logs auf den keks, somit hab ich wan seitig ssh dicht gemacht

von **sheikhstone** » Do 24 Mär, 2011 11:00

@ wicked one: was kommt bei den .... rein

xDSL.at

möglicher loginversuch auf mein pirelli?

möglicher loginversuch auf mein pirelli?

Re: möglicher loginversuch auf mein pirelli?

Re: möglicher loginversuch auf mein pirelli?

Re: möglicher loginversuch auf mein pirelli?

Re: möglicher loginversuch auf mein pirelli?

Re: möglicher loginversuch auf mein pirelli?

Re: möglicher loginversuch auf mein pirelli?

Re: möglicher loginversuch auf mein pirelli?

Re: möglicher loginversuch auf mein pirelli?

Re: möglicher loginversuch auf mein pirelli?

Re: möglicher loginversuch auf mein pirelli?

Re: möglicher loginversuch auf mein pirelli?

Re: möglicher loginversuch auf mein pirelli?

Re: möglicher loginversuch auf mein pirelli?

Re: möglicher loginversuch auf mein pirelli?

Wer ist online?