Stundenlange Loginversuche .. Aus Südkorea!

    • Stundenlange Loginversuche .. Aus Südkorea!

      Moin,

      ich habe mich schon länger nicht mehr zu Wort gemeldet, aber jetzt bin ich doch mal wieder da. :o)
      Vielleicht kann mir ja jemand von Euch helfen.

      Als ich heute per Zufall über SSH auf meine Dreambox (8000) schaute, und eigentlich aus noch größerem Zufall in die /var/log/messages reingesehen habe, vielen mir etliche Loginversuche von einer IP aus Südkorea auf, die sich alle 2-3 Sekunden auf etlichen Ports wiederholte.
      ---------------------
      Feb 22 21:03:12 dm8000 authpriv.warn dropbear[22038]: login attempt for nonexistent user from 211.238.207.66:57746
      Feb 22 21:03:13 dm8000 authpriv.warn dropbear[22038]: login attempt for nonexistent user from 211.238.207.66:57746
      Feb 22 21:03:14 dm8000 authpriv.info dropbear[22040]: Child connection from 211.238.207.66:58054
      Feb 22 21:03:14 dm8000 authpriv.info dropbear[22038]: exit before auth: Disconnect received
      -----------------------
      Dieses immer wiederholend.

      Ein wenig gegooglet und über hosts.deny gestolpert, angelegt, mir eben jeder IP versehen (ALL: 211.238.207.66).
      Wenn ich das richtig verstanden habe, sollte das so richtig sein. Jedoch hab ich nichts darüber gefunden, was ich für einen daemon evtl neustarten muss... wäre nur ein Reboot übrig geblieben, den ich aufgrund einer statfindenden Aufnahme nicht machen wollte.
      Jedenfalls hörte es etwa 5 Minuten später auf. Eine Auswirkung der hosts.deny? Zufall? Möchte das gerne wissen. :o)

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von TiKaey ()

    • Eigentlich ist nur 8800 von außen erreichbar (8800 statt 80 für das Webif.. hat technische Gründe) und 22 für ssh. Mehr wird nicht weiter geleitet. Von daher weiß ich nicht, wie es dazu kommt, dass da die ganzen Anfragen landen.
      Komme zwar grad nicht auf meinen Router drauf (bin nicht zu Hause) aber ich bin mir sehr sicher, dass ich es genauso eingerichtet habe.

      EDIT: Und ich habe es mal eben ausgetestet mit verschiedenen Ports.. keine Reaktion. Wie es sein soll.Ein Login mir richtigem Port ergab dann folgenden Eintrag:
      Feb 22 23:36:19 dm8000 authpriv.info dropbear[29306]: Child connection from 91.97.107.72:61791
      Feb 22 23:36:23 dm8000 authpriv.notice dropbear[29306]: password auth succeeded for 'root' from 91.97.107.72:61791
      Auch hier werden andere Ports genannt, als eigentlich verwendet werden.
      Meine Netzwerkkenntnisse sind nicht gut genug, als dass ich das genau verstehen würde, aber vielleicht interne Umlenkung?

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von TiKaey () aus folgendem Grund: Ergänzung

    • Ne das ist "normal". Warum das so ist kann ich dir auch nicht genau sagen aber der Port der hier aufgelistet wird ist nicht der Port an dem der Zugriff passiert.
      Also für mich ist das ganze einfach ein Bot der sich versucht einzulogen. Passwort prüfen auf Sicherheit oder gleich am besten Passwort abstellen und auf Key Auth. umstellen.

    • Da kein Login erfolgreich war, scheint das Passwort ja schon sicher zu sein. ;o)

      Hmm. mit Key Auth. muss ich mich mal auseinander setzen, bisher nix mit gemacht. Werde es mir mal ansehen.
      Mit dem Port ändern ist natürlich auch eine "einfache" Möglichkeit.

      Danke soweit. :o)

    • TiKaey schrieb:

      Da kein Login erfolgreich war, scheint das Passwort ja schon sicher zu sein. ;o)


      muss aber nicht heißen, dass das auf Dauer ist

      wenn du mit Windows + Putty drauf zugreifst, mit puttygen.exe ein Schlüsselpaar erstellen und den puplic.key auf der Box in /root/home/.ssh/authorized_keys speichern, dann noch im dropbear server den passwort login deaktivieren - dann kommt man nur noch mit dem Schlüssel rein - aber auch im lokalen Netzwerk!

      howto Key-Based SSH Login with Putty

      wenn du mit einem Linux Client arbeitest, ist das schnell mit ssh-keygen erledigt ...

      //Edit:
      für die Portfreigabe bieten sich eigentlich die (freien) Dynamic Ports an: 49152–65535

      Und wenn man sich per ssh einloggt, kann man auch gleich ein paar ssh-Tunnel aufs Web-IF etc. mit aufbauen - dann kann man drauf über den localhost zugreifen. Eine nette VPN-Alternative ...

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von Fred Bogus Trumper ()

    • Schnello schrieb:

      Ne das ist "normal". Warum das so ist kann ich dir auch nicht genau sagen aber der Port der hier aufgelistet wird ist nicht der Port an dem der Zugriff passiert.
      Also für mich ist das ganze einfach ein Bot der sich versucht einzulogen. Passwort prüfen auf Sicherheit oder gleich am besten Passwort abstellen und auf Key Auth. umstellen.


      In dem Beispiel:
      SSH hat zielport 22: wenn nun ein Externer Client von extern zugreifen versucht, dann macht der das von einem Quellport, welches ein "High-Port" ist, also irgendwas größer 1024.

      du kannst von einer IP-Addresse aus mehrere SSH-Verbindungen zu deiner Dreambox machen, das ist eben wegen der Unterscheidung durch die Quellports möglich.


      Grüße
      Johannes
      --
      DM 7020 HD 2x DVB-S2
      2TB HDD
      Newnigma 4.0.5

    • Merci!

      Den SSH-Port habe ich mittlerweile geändert, den Rest werde ich aber erst machen, sobald ich ein neues Image eingespielt habe, bin noch auf 3.2. :o)
      Auf jeden Fall schon mal danke für den ganzen Input.