© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Halli Hallo,
ich hatte am 9. November über Nacht entweder eine durchgedrehte
Linuxkiste die sich auf meinem rootserver einloggen wollte, oder einen
direkt versuchten Angriff.
Die logfiles sehen meines erachtens okay aus. Das einzige was mich
stutzig macht ist folgender Eintrag:
root(at)crivens:/root# last | grep date
9:47:45
date { Tue Nov 9 20:54
date | Thu Dec 9 20:52
Was ist denn da passiert ?
Es gibt keinen User 'date'.
Die tty { und/oder | ist auch seltsam, und das Datum ist um einen Monat
verändert, was auch nicht sein sollte.
Bei genauerem hinsehen: Der zweite login als 'date' hat das Datum um
einen Monat verändert. Alle Einträge darunter sind vom 9. Dezember, 8.
Dezember und so weiter. Ab dem obersten Date Eintrag, sind wir auf
einmal im November.
Hm Hm Hm ...
Die Einträge in /var/log/auth.log zum fraglichen Zeitraum sahen so aus:
Dec 9 19:46:03 crivens sshd[82168]: Illegal user root-admin from
161.116.118.83
Dec 9 19:46:04 crivens sshd[82170]: Illegal user admin-root from
161.116.118.83
Dec 9 19:46:05 crivens sshd[82172]: Illegal user nancy from 161.116.118.83
Dec 9 19:46:06 crivens sshd[82174]: Illegal user phillip from
161.116.118.83
Dec 9 19:46:07 crivens sshd[82176]: Illegal user samantha from
161.116.118.83
Dec 9 19:46:08 crivens sshd[82178]: Illegal user sharon from 161.116.118.83
Dec 9 19:46:09 crivens sshd[82180]: Illegal user lesa from 161.116.118.83
Dec 9 19:46:10 crivens sshd[82182]: Illegal user sue from 161.116.118.83
Dec 9 19:46:11 crivens sshd[82184]: Illegal user cyndee from 161.116.118.83
Dec 9 19:46:15 crivens sshd[82186]: Illegal user van from 161.116.118.83
Dec 9 19:46:16 crivens sshd[82188]: Illegal user donna from 161.116.118.83
Dec 9 19:46:17 crivens sshd[82190]: Illegal user rusty from 161.116.118.83
Dec 9 19:46:18 crivens sshd[82192]: Illegal user ron from 161.116.118.83
Dec 9 19:46:19 crivens sshd[82194]: Illegal user darrel from 161.116.118.83
Dec 9 19:46:20 crivens sshd[82196]: Illegal user brother from
161.116.118.83
Dec 9 19:46:21 crivens sshd[82198]: Illegal user carole from 161.116.118.83
Dec 9 19:46:22 crivens sshd[82200]: Illegal user christi from
161.116.118.83
Dec 9 19:46:23 crivens sshd[82202]: Illegal user blake from 161.116.118.83
Dec 9 19:46:24 crivens sshd[82204]: Illegal user shannon from
161.116.118.83
Dec 9 19:46:25 crivens sshd[82206]: Illegal user ircu from 161.116.118.83
Dec 9 19:46:34 crivens sshd[82214]: Illegal user root-admin from
161.116.118.83
Dec 9 19:46:36 crivens sshd[82218]: Illegal user patrick from
161.116.118.83
Dec 9 19:46:37 crivens sshd[82220]: Illegal user patrick from
161.116.118.83
Dec 9 19:46:43 crivens sshd[82232]: Illegal user rolo from 161.116.118.83
Dec 9 19:46:44 crivens sshd[82234]: Illegal user iceuser from
161.116.118.83
Dec 9 19:46:48 crivens sshd[82236]: Illegal user horde from 161.116.118.83
Dec 9 19:46:52 crivens sshd[82242]: Illegal user wwwrun from 161.116.118.83
Dec 9 19:46:53 crivens sshd[82244]: Illegal user matt from 161.116.118.83
Dec 9 19:46:54 crivens sshd[82246]: Illegal user test from 161.116.118.83
Dec 9 19:46:55 crivens sshd[82248]: Illegal user test from 161.116.118.83
Dec 9 19:46:56 crivens sshd[82250]: Illegal user test from 161.116.118.83
Wobei das nur ein Ausschnitt ist ...
Für jegliche Tips wäre ich dankbar. Bis ich das veränderte Datum und den
etwaigen User "date" gesehen hatte, dachte ich noch das ist nur eine
verwirrte Linuxkiste die mit irgendeinem Wurm infiziert ist ... gibt's
ja mittlerweile auch dann und wann :-/
Mit besten Grüßen und völlig ratlos,
Marian
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 13 Dec 2004 - 09:29:57 CET