We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Secure Meldungen! IP von OVH User!


Arne
16.09.13, 00:46
Zitat Zitat von Altenholzer
Was auch sehr nett ist fail2ban mit blocklist.de
Haha Platz 7 der Top15 Attacker IPs ist ne IP von OVH mit 540800 ausgehenden Angriffen

198.100.144.223
ns4001794.ip-198-100-144.net

keving
15.09.13, 14:28
blocklist kannte ich noch nicht. Danke direkt mal hinzugefügt

Altenholzer
15.09.13, 11:36
Was auch sehr nett ist fail2ban mit blocklist.de

dabla
15.09.13, 11:31
fail2ban hilft auch, aber als fähiger admin sollte man sowas wissen und auch richtig einordnen können

Altenholzer
15.09.13, 11:30
Solange das Automatisierte Angriffe sind bringt es natürlich was wenn man den Port ändert meiner liegt auch bei 540xx aber wenn es einer auf dich abgesehen hat,hat der schnell den Port raus.

ivybridge
15.09.13, 11:22
ssh port ändern wirkt auch wahre wunder gegen solche automatisierten brute-force skripte

Altenholzer
15.09.13, 11:19
Das normales Grundrauschen,wenn du lustig bist kanst du deine Logs per Mail an OVH schicken die sperren die Kiste dann aber Angst haben muss man nun nicht wenn du gute Pws nutzt und Dienste abgesichert sind.


http://abuse.ovh.net/

zen
15.09.13, 09:58
Zitat Zitat von uli15
Was soll das?

Kann OVH da was machen?
Das ist wahrscheinlich ein infizierter/übernommener Server, der jetzt automatisiert neue Opfer sucht. Das zu verhindern ist die Aufgabe der jeweiligen Admins, nicht von OVH.

Stelle erst mal SSH von Passwortlogin auf Login mit Zertifikate um. (Achtung: VORHER dein Zertifikat eintragen )
Dann kannst du noch fail2ban installieren, was Logfiles nach solchen Einträgen durchsucht und die IPs automatisch blockiert. Iptables sollte natürlich auch eingestellt sein (iptables&ip6tables).

uli15
15.09.13, 06:45
Hallo habe mir gerade mal meine Logs angeschaut, und sehe jede Menge Versuche auf den Server zu gelangen.

Die IP "91.121.27.74" die es versucht ist ein User bei OVH hier mal ein Auszug:

PHP-Code:
Sep 15 06:02:48 ns33xxxxxx sshd[15883]: pam_unix(sshd:auth): authentication failurelognameuid=0 euid=0 tty=ssh ruserrhost=91.121.27.74 
Sep 15 06
:02:48 ns33xxxxxx sshd[15883]: pam_succeed_if(sshd:auth): error retrieving information about user range
Sep 15 06
:02:50 ns33xxxxxx sshd[15883]: Failed password for invalid user range from 91.121.27.74 port 49834 ssh2
Sep 15 06
:02:50 ns33xxxxxx sshd[15884]: Received disconnect from 91.121.27.7411Bye Bye
Sep 15 06
:02:50 ns33xxxxxx sshd[15888]: Invalid user vlad from 91.121.27.74
Sep 15 06
:02:50 ns33xxxxxx sshd[15889]: input_userauth_requestinvalid user vlad
Sep 15 06
:02:50 ns33xxxxxx sshd[15888]: pam_unix(sshd:auth): check passuser unknown
Sep 15 06
:02:50 ns33xxxxxx sshd[15888]: pam_unix(sshd:auth): authentication failurelognameuid=0 euid=0 tty=ssh ruserrhost=91.121.27.74 
Sep 15 06
:02:50 ns33xxxxxx sshd[15888]: pam_succeed_if(sshd:auth): error retrieving information about user vlad
Sep 15 06
:02:52 ns33xxxxxx sshd[15888]: Failed password for invalid user vlad from 91.121.27.74 port 50137 ssh2
Sep 15 06
:02:52 ns33xxxxxx sshd[15889]: Received disconnect from 91.121.27.7411Bye Bye
Sep 15 06
:02:53 ns33xxxxxx sshd[15893]: Invalid user boris from 91.121.27.74
Sep 15 06
:02:53 ns33xxxxxx sshd[15894]: input_userauth_requestinvalid user boris
Sep 15 06
:02:53 ns33xxxxxx sshd[15893]: pam_unix(sshd:auth): check passuser unknown
Sep 15 06
:02:53 ns33xxxxxx sshd[15893]: pam_unix(sshd:auth): authentication failurelognameuid=0 euid=0 tty=ssh ruserrhost=91.121.27.74 
Sep 15 06
:02:53 ns33xxxxxx sshd[15893]: pam_succeed_if(sshd:auth): error retrieving information about user boris
Sep 15 06
:02:55 ns33xxxxxx sshd[15893]: Failed password for invalid user boris from 91.121.27.74 port 50525 ssh2
Sep 15 06
:02:55 ns33xxxxxx sshd[15894]: Received disconnect from 91.121.27.7411Bye Bye 
Der erste Versuch war am Sep 14 02:30:15 ns3301103 sshd[9535]: Invalid user ana from 91.121.27.74

Hier die Whois Abfrage zur IP:
_______________
91.121.27.74 IP-Adresse Geodaten und mehr:
IP-Adresse [?]: 91.121.27.74 [Whois] [Reverse IP]
Ländercode der IP: FR
Land der IP: ip address flag France
Bundesland der IP: n/a
Stadt der IP: n/a
Breitengrad der IP: 48.8600
Längengrad der IP: 2.3500
Provider der IP [?]: OVH Systems
Organisation: OVH SAS
Host der IP: [?]: ns39998.ovh.net [Whois] [Trace]
_______________

Was soll das?

Kann OVH da was machen?

LG Uli