Re: Fehler syslog
Hallo,
Richard Mittendorfer <delist@gmx.net> writes:
> Also sprach Michael Welle <m.welle@gmx.net> (Mon, 03 Oct 2005 16:22:24
> +0200):
>> Hallo,
>
> Hey,
>
>> Hans-Georg Bork <hgb@hgbhome.net> writes:
>> > On Mon, Oct 03, 2005 at 09:12:36AM +0200, Michael Welle wrote:
>> >> seit langem vermutet ich, dass der syslogd etwas verwirrt ist:
>> >>
>> >> Oct 2 19:12:24 ssh connection attempt from x.x.x.x (x.x.x.x:59268->x.x.x.x:22)
>> >> Oct 2 19:16:10 last message repeated 163 time(s)
>> >> Oct 2 19:28:09 ssh connection attempt from 61.100.108.205 (61.100.108.205:63763->x.x.x.x:22)
>> >> Oct 2 23:57:11 last message repeated 661 time(s)
>> >
>> > sieht aus wie ein versuchter Einbruch eines "script-kiddies".
>>
>> die IP ist zwar von 'ziemlich weit draussen', aber bei <3 Zugriffen
>> kann man wohlwollend von Vertipper bei der Zieladresse ausgehen ;).
>> Anyway, mein Problem ist auch eher, das angeblich 661 stattgefunden
>> haben sollen, was sich nicht mit meinen sonstigen Erkenntnissen
>> deckt.
>
> Wuerd' auch auf 'ne brute-force Attake tippen. Die Zeit/Dauer wuerde
> auch passen.
>
> Der erste Eintrag ist in der Tat merkwuerdig - sei denn, du hast deine
> Firewall kaputt konfiguriert. Poste die mal.
Ich soll eine firewall posten ;)? Parallel schrieb ich ja, dass die
obigen logs von ippl generiert werden, also unabhaengig von
Packetfiltern sind. Aber dadurch, dass mein Packetfilter abgewiesene
Verbindungen log, weiss ich, dass da keine 661 Versuche
stattfanden (konnten). Die Regel fuer iptables sieht etwa so aus:
iptables -A ssh_block -i ${EXT_IF} -p tcp
--dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name
SSH -j LOG --log-prefix "LOG_SSH: "
Danach wird das Packet gedroppt.
Wenn ich die Woche Zeit habe, muss ich wohl mal in die Quellen von
ippl schauen.
VG
hmw
Reply to: