Hackversuch auf meine Hardware

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Hackversuch auf meine Hardware

    Mir ist aufgefallen, dass seit 6:30 heute früh viele DNS-Querys (bis 13 Uhr ca. 10.000) von localhost zu einem chinesischen Server kamen, also habe ich mich mal auf die Suche gemacht.
    - Der Angriff galt meinem RPi mit Pihole (sonst ist da nix drauf)
    - Er kam über SSH (Port war noch offen aufm Router), war aber (so wie ich es sehe) erfolglos
    - Er versuchte seit Tagen per root auf allen möglichen Ports sich einzuloggen, blöderweise ist root bei mir aber für ssh gesperrt und mit einem nicht bruteforcebaren Passwort gesichert ;)
    - Ich habe alle Logs mal durchgeschaut, da war kein erfolgreicher Zugriffversuch zu verzeichnen.

    Hier mal ein Auszug (waren ca. 200.000 Versuche):

    Quellcode

    1. Jan 30 06:30:03 sshd[7784]: Failed password for root from xxx port 13032 ssh2
    2. Jan 30 06:30:04 sshd[7786]: Failed password for root from xxx port 22334 ssh2
    3. Jan 30 06:30:05 sshd[7790]: Failed password for root from xxx port 40578 ssh2
    4. Jan 30 06:30:05 sshd[7788]: Failed password for root from xxx port 38882 ssh2
    5. Jan 30 06:30:05 sshd[7780]: Failed password for root from xxx port 59407 ssh2
    6. Jan 30 06:30:05 sshd[7782]: Failed password for root from xxx port 60211 ssh2
    7. Jan 30 06:30:06 sshd[7784]: Failed password for root from xxx port 13032 ssh2
    8. Jan 30 06:30:06 sshd[7786]: Failed password for root from xxx port 22334 ssh2
    9. Jan 30 06:30:08 sshd[7790]: Failed password for root from xxx port 40578 ssh2
    10. Jan 30 06:30:08 sshd[7788]: Failed password for root from xxx port 38882 ssh2
    11. Jan 30 06:30:08 sshd[7780]: Failed password for root from xxx port 59407 ssh2
    12. Jan 30 06:30:08 sshd[7782]: Failed password for root from xxx port 60211 ssh2
    13. [...]
    14. Jan 31 08:06:50 sshd[17128]: Received disconnect from yyy: 11: [preauth]
    15. Jan 31 08:06:50 sshd[17128]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=yyy user=root
    16. Jan 31 08:07:10 sshd[17175]: reverse mapping checking getaddrinfo for zzz.dynamic.163data.com.cn [ttt] failed - POSSIBLE BREAK-IN ATTEMPT!
    Alles anzeigen
    xxx, yyy, zzz und ttt unterscheiden sich (habe ich mal anonymisiert), wobei zzz auf ttt hinweist.

    Hab den Port gesperrt und die DNS auf die Blacklist gesetzt und seitdem ist Ruhe und die Querys sind weg.

    was mich aber wundert:
    - Angriff läuft seit Tagen
    - Query-Anstieg aber erst seit heute früh?

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Niemand ()

  • Re,

    Ja, so sieht ein Angriff eines Scriptkiddies aus ... kein Profi versucht sich gleich mit "root" anzumelden.

    Allerdings sollte man das nicht überbewerten - dies war ein automatisierter Angriff auf Port 22. Sämtliche (IP-) Netze werden rund um die Uhr von i'was oder i'wem abgescannt, in der Hoffung:
    - einen "offenen" Port zu finden
    - den Dienst dahinter zu erkennen
    - den Dienst entweder mit Standarp-PW oder Exploits zu hacken

    Das passiert hochautomatisiert ... von daher absolute Normalität (leider)

    Sc0rp