[Schan-user] POSSIBLE BREAKIN ATTEMPT!

Helmut Hullen HHullen_BS at T-online.de
Mon Mai 29 22:24:00 CEST 2006


Hallo, Heiner,

Du meintest am 29.05.06 zum Thema [Schan-user] POSSIBLE BREAKIN ATTEMPT!:

> Hallo Liste,

> POSSIBLE BREAKIN ATTEMPT! - Diese Meldung ist neu in
> /var/log/login. Müssen mich diese Einbruchsversuche beunruhigen?
> Gibt es etwas an den Sicherungen zu verbessern?

> Danke im Voraus und Gruß

> Heiner

> May 16 18:51:16 Arktur sshd[31022]: reverse mapping checking
> getaddrinfo for maquina184.csi-mad.es.colt.net failed - POSSIBLE
> BREAKIN ATTEMPT! May 16 18:51:16 Arktur sshd[31022]: error: Could
> not get shadow information for NOUSER
> May 16 18:51:16 Arktur sshd[31022]: Failed password for invalid
> user admin from 213.27.145.184 port 51765 ssh2
> May 16 18:51:17 Arktur sshd[31030]: User guest not allowed because
> shell /dev/null is not executable

Du solltest Deinen Arktur 3.4 (der ja schon etwas älter ist) ein wenig  
updaten, insbesondere von Kernel 2.4 nach Kernel 2.6.
Dann kann "iptables" so etwas leichter abblocken: bei mehr als 4  
Versuchen/Minute wird die Verbindung gekappt.

In der Zwischenzeit kannst Du einige IP-Adress-Bereiche in "/etc/ 
Schule/vollblock" eintragen, wenn Du sicher bist, dass kein befugter  
Benutzer sich von dort einloggen wird.

Im obigen Fall wäre es (sagt "whois 213.27.145.184")

        213.27.128.0/17
        (Colt-Espana-net, COLT Telecom, GB)

So etwas herauszusuchen und nachzutragen wird aber eine Sysiphos- 
Arbeit.

Viele Gruesse!
Helmut



_______________________________________________
schan-user mailing list
schan-user at listserv.heise.de
http://www.heise.de/bin/newsletter/listinfo/schan-user