OVH Community, your new community space.

Secure Meldungen! IP von OVH User!

Arne

15.09.13, 23:46

Zitat von Altenholzer

Was auch sehr nett ist fail2ban mit blocklist.de

Haha Platz 7 der Top15 Attacker IPs ist ne IP von OVH mit 540800 ausgehenden Angriffen

198.100.144.223
ns4001794.ip-198-100-144.net

keving

15.09.13, 13:28

blocklist kannte ich noch nicht. Danke direkt mal hinzugefügt

Altenholzer

15.09.13, 10:36

Was auch sehr nett ist fail2ban mit blocklist.de

dabla

15.09.13, 10:31

fail2ban hilft auch, aber als fähiger admin sollte man sowas wissen und auch richtig einordnen können

Altenholzer

15.09.13, 10:30

Solange das Automatisierte Angriffe sind bringt es natürlich was wenn man den Port ändert meiner liegt auch bei 540xx aber wenn es einer auf dich abgesehen hat,hat der schnell den Port raus.

ivybridge

15.09.13, 10:22

ssh port ändern wirkt auch wahre wunder gegen solche automatisierten brute-force skripte

Altenholzer

15.09.13, 10:19

Das normales Grundrauschen,wenn du lustig bist kanst du deine Logs per Mail an OVH schicken die sperren die Kiste dann aber Angst haben muss man nun nicht wenn du gute Pws nutzt und Dienste abgesichert sind.

http://abuse.ovh.net/

zen

15.09.13, 08:58

Zitat von uli15

Was soll das?

Kann OVH da was machen?

Das ist wahrscheinlich ein infizierter/übernommener Server, der jetzt automatisiert neue Opfer sucht. Das zu verhindern ist die Aufgabe der jeweiligen Admins, nicht von OVH.

Stelle erst mal SSH von Passwortlogin auf Login mit Zertifikate um. (Achtung: VORHER dein Zertifikat eintragen )
Dann kannst du noch fail2ban installieren, was Logfiles nach solchen Einträgen durchsucht und die IPs automatisch blockiert. Iptables sollte natürlich auch eingestellt sein (iptables&ip6tables).

uli15

15.09.13, 05:45

Hallo habe mir gerade mal meine Logs angeschaut, und sehe jede Menge Versuche auf den Server zu gelangen.

Die IP "91.121.27.74" die es versucht ist ein User bei OVH hier mal ein Auszug:

PHP-Code:


Sep 15 06:02:48 ns33xxxxxx sshd[15883]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=91.121.27.74 

Sep 15 06:02:48 ns33xxxxxx sshd[15883]: pam_succeed_if(sshd:auth): error retrieving information about user range

Sep 15 06:02:50 ns33xxxxxx sshd[15883]: Failed password for invalid user range from 91.121.27.74 port 49834 ssh2

Sep 15 06:02:50 ns33xxxxxx sshd[15884]: Received disconnect from 91.121.27.74: 11: Bye Bye

Sep 15 06:02:50 ns33xxxxxx sshd[15888]: Invalid user vlad from 91.121.27.74

Sep 15 06:02:50 ns33xxxxxx sshd[15889]: input_userauth_request: invalid user vlad

Sep 15 06:02:50 ns33xxxxxx sshd[15888]: pam_unix(sshd:auth): check pass; user unknown

Sep 15 06:02:50 ns33xxxxxx sshd[15888]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=91.121.27.74 

Sep 15 06:02:50 ns33xxxxxx sshd[15888]: pam_succeed_if(sshd:auth): error retrieving information about user vlad

Sep 15 06:02:52 ns33xxxxxx sshd[15888]: Failed password for invalid user vlad from 91.121.27.74 port 50137 ssh2

Sep 15 06:02:52 ns33xxxxxx sshd[15889]: Received disconnect from 91.121.27.74: 11: Bye Bye

Sep 15 06:02:53 ns33xxxxxx sshd[15893]: Invalid user boris from 91.121.27.74

Sep 15 06:02:53 ns33xxxxxx sshd[15894]: input_userauth_request: invalid user boris

Sep 15 06:02:53 ns33xxxxxx sshd[15893]: pam_unix(sshd:auth): check pass; user unknown

Sep 15 06:02:53 ns33xxxxxx sshd[15893]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=91.121.27.74 

Sep 15 06:02:53 ns33xxxxxx sshd[15893]: pam_succeed_if(sshd:auth): error retrieving information about user boris

Sep 15 06:02:55 ns33xxxxxx sshd[15893]: Failed password for invalid user boris from 91.121.27.74 port 50525 ssh2

Sep 15 06:02:55 ns33xxxxxx sshd[15894]: Received disconnect from 91.121.27.74: 11: Bye Bye

Der erste Versuch war am Sep 14 02:30:15 ns3301103 sshd[9535]: Invalid user ana from 91.121.27.74

Hier die Whois Abfrage zur IP:
_______________
91.121.27.74 IP-Adresse Geodaten und mehr:
IP-Adresse [?]: 91.121.27.74 [Whois] [Reverse IP]
Ländercode der IP: FR
Land der IP: ip address flag France
Bundesland der IP: n/a
Stadt der IP: n/a
Breitengrad der IP: 48.8600
Längengrad der IP: 2.3500
Provider der IP [?]: OVH Systems
Organisation: OVH SAS
Host der IP: [?]: ns39998.ovh.net [Whois] [Trace]
_______________

Was soll das?

Kann OVH da was machen?

LG Uli