Re: Aw: [Trolug] Einbruchs ins System?
Hallo Georg, > Ich habe die Einstellungen meiner Fritzbox überprüft. Hier sind Portfreigaben > zur IP-Adresse von meinem Server eingerichtet gewesen: Danke für den Nachtrag. Damit wird es recht deutlich. Es waren im Router niedrige Portummern freigegeben. Die werden permanent im Internet abgescannt und nachgesehen, ob dort leichter Zugang besteht. Man sollte immer hohe Portnummern verwenden, wenn im Router Ports dauerhaft offen sind. Dadurch reduziert sich die Anzahl der Angriffsversuche drastisch. Wenn SSH dann noch eine Schlüsselauthentifizierung (RSA) macht und nicht (nur) eine Passwortabfrage ist das schon recht sicher. Reiner hatte dazu mal in der TroLUG berichtet: http://www.trolug.de/doku.php?id=fernwartung_mit_vnc_und_ssh http://www.trolug.de/doku.php?id=protokoll_2_ssh_und_vnc Zu Deinen Warnungen in dem logfile kann ich Dich etwas beruhigen, denn es sagt ja nur, dass (evtl.) jemand versucht hat einzubrechen. Ob dies geschehen ist, ist dann noch zu klären. Vermutlich aber nicht, denn, wenn es jemand schafft einfach per ssh root@DEINSYSTEM sich einzuloggen, wird er üblicherweise auch die Logfiles reinigen. Am besten installierst Du das System neu. Das kostet weniger Zeit als eine aufwändige Analyse und führt sicher zum Ziel. > Die IP-Adressen der Angreifer habe ich identifiziert. Die sind vielleicht selbst Opfer eines Angriffs. Beste Grüße, -- Jonas Stein ___ Trolug_trolug.de mailing list trolug@trolug.de https://ml01.ispgateway.de/mailman/listinfo/trolug_trolug.de
Aw: [Trolug] Einbruchs ins System?
Nachtrag: Ich habe die Einstellungen meiner Fritzbox überprüft. Hier sind Portfreigaben zur IP-Adresse von meinem Server eingerichtet gewesen: HTTP-Server, TCP, 80, Server-IP-Address, 80 FTP-Server, TCP, 21, Server-IP-Address, 21 HTTP/S-Server, TCP, 443, Server-IP-Address, 443 Secure Shell SSH/SFTP, TCP, 22, Server-IP-Address, 22 HTTP Non-Root User, TCP, 8080, Server-IP-Address, 8080 Diese Portfreigaben habe ich gelöscht. Viele Grüße Georg Gesendet: Samstag, 21. September 2013 um 14:41 Uhr Von: g.maub...@gmx.de An: trolug@trolug.de Betreff: [Trolug] Einbruchs ins System? Hallo zusammen, ich habe meinen Server abgesichert. Bei der Durchführung der Absicherung war der Server schon im Netz, da ich mir die Infos wie die Absicherung durchzuführen ist, parallel aus dem Web gezogen habe. Der Server stand hinter meiner Fritzbox. Nach der Absicherung des Systems habe ich bei einer Überprüfung mit cat /var/log/auth.log | grep fail | wc -l 117 fehlgeschlagene Login-Versuche gehabt. Ich bin davon ausgegangen, dass niemand von außer auf den Server zugreifen kann, da die Fritzbox den Datenverkehr blocken sollte. Ist das ein Irrtum? Die IP-Adressen der Angreifer habe ich identifiziert. Besonders stutzig macht mich die Meldung failed - POSSIBLE BREAK-IN ATTEMPT! mit der dazugehörigen IP-Adresse. Muss ich jetzt davon ausgehen, dass mein System schon kompromittiert ist? Wie kann ich das prüfen? Viele Grüße Georg ___ Trolug_trolug.de mailing list trolug@trolug.de https://ml01.ispgateway.de/mailman/listinfo/trolug_trolug.de
Aw: [Trolug] Einbruchs ins System?
Das ist ja ein heißes Ding! Bin auf die Antworten der Experten sehr gespannt. Viele Grüße Maria Gesendet: Samstag, 21. September 2013 um 14:41 Uhr Von: g.maub...@gmx.de An: trolug@trolug.de Betreff: [Trolug] Einbruchs ins System? Hallo zusammen, ich habe meinen Server abgesichert. Bei der Durchführung der Absicherung war der Server schon im Netz, da ich mir die Infos wie die Absicherung durchzuführen ist, parallel aus dem Web gezogen habe. Der Server stand hinter meiner Fritzbox. Nach der Absicherung des Systems habe ich bei einer Überprüfung mit cat /var/log/auth.log | grep fail | wc -l 117 fehlgeschlagene Login-Versuche gehabt. Ich bin davon ausgegangen, dass niemand von außer auf den Server zugreifen kann, da die Fritzbox den Datenverkehr blocken sollte. Ist das ein Irrtum? Die IP-Adressen der Angreifer habe ich identifiziert. Besonders stutzig macht mich die Meldung failed - POSSIBLE BREAK-IN ATTEMPT! mit der dazugehörigen IP-Adresse. Muss ich jetzt davon ausgehen, dass mein System schon kompromittiert ist? Wie kann ich das prüfen? Viele Grüße Georg ___ Trolug_trolug.de mailing list trolug@trolug.de https://ml01.ispgateway.de/mailman/listinfo/trolug_trolug.de
[Trolug] Einbruchs ins System?
Hallo zusammen, ich habe meinen Server abgesichert. Bei der Durchführung der Absicherung war der Server schon im Netz, da ich mir die Infos wie die Absicherung durchzuführen ist, parallel aus dem Web gezogen habe. Der Server stand hinter meiner Fritzbox. Nach der Absicherung des Systems habe ich bei einer Überprüfung mit cat /var/log/auth.log | grep fail | wc -l 117 fehlgeschlagene Login-Versuche gehabt. Ich bin davon ausgegangen, dass niemand von außer auf den Server zugreifen kann, da die Fritzbox den Datenverkehr blocken sollte. Ist das ein Irrtum? Die IP-Adressen der Angreifer habe ich identifiziert. Besonders stutzig macht mich die Meldung failed - POSSIBLE BREAK-IN ATTEMPT! mit der dazugehörigen IP-Adresse. Muss ich jetzt davon ausgehen, dass mein System schon kompromittiert ist? Wie kann ich das prüfen? Viele Grüße Georg ___ Trolug_trolug.de mailing list trolug@trolug.de https://ml01.ispgateway.de/mailman/listinfo/trolug_trolug.de
[Trolug] INFO: Schriftgroesse des Terminals bei Verwendung von PuTTy aendern
Hallo zusammen, nochmal vielen Dank für Eure Hilfe bei meiner Frage nach der USV. Ich finde es immer wieder spannend, wie sich ein Thema auf der Liste entwickelt. Heute haette ich eine Frage zum Thema Einstellung der Schriftgroesse bei einem Terminal gehabt, aber mittlerweile die Lösung gefunden. Ich verbreite sie mal hier. Ich habe folgendes Szenario: - Raspberry PI mit Debian Wheezy for Raspberry PI - Boot des Raspis - Login vom Client mittels PuTTy Danach ist die Schrift auf meinem Bildschirm so klein, dass man sie fast nicht mehr lesen kann. Folgendes habe ich ohne Erfolg probiert: setfont /usr/share/consolefonts/La15-TerminusBold20x10.psf.gz dpkg-reconfigure console-setup Am einfachsten geht's mit ssh user@hostname von der Konsole des Clients aus. Dann klappts auch mit der Schrift. Die Lösung fand ich hier http://www.ubuntu-forum.de/artikel/29634/putty-mit-winziger-schrift-wie-%C3%A4ndern.html Viele Grüße Georg ___ Trolug_trolug.de mailing list trolug@trolug.de https://ml01.ispgateway.de/mailman/listinfo/trolug_trolug.de
