[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT] Merkwürdige auth.log Einträge



* Björn Keil <abgrund@silberdrache.net> wrote:
> Hallo,
> 
> heute morgen fand ich ein paar komische Einträge in meinen
> /var/log/auth.log Datei. Und weil meine Kenntnisse im Hacken nun mal
> begrenzt sind frage ich lieber mal nach:
> 
> Jun 15 09:28:22 <mein_host> sshd[9110]: reverse mapping checking
> getaddrinfo for h85-20-84-137.albacom.net failed - POSSIBLE BREAKIN ATTEMPT!
> 
> Davon gab es 4506 Einträge in auth.log. Das die Leute mit brute force
> Angriffen an das root-Passwort zu kommen oder einfach mal ein paar
> gängige Unsernamen und Passwörter durchprobieren ist ja nichts neues....
> aber sowas? Wen hätte man denn da aussperren können und was hat er
> eigentlich versucht? Aber was für ein Reverse Mapping? Hätte bei einer
> Reverse Anfrage die Adresse nicht 85-20-84-137.in-addr.arpa heißen müssen?

Der Angreifer behauptete, vom Host h85-20-84-137.albacom.net zu kommen,
der sshd versucht die Adresse aufzulösen, und da er das nicht kann (Host
existiert nicht) gibt er diese Meldung aus und lässt ihn nicht rein.
Diese 85-20-84-137 ist ja keine IP-Adresse, deswegen geht die Anfrage
auch nicht nach 85-20-84-137.in-addr.arpa. 
Wenn hieße das auch 85.20.84.137.in-addr.arpa

,----
| UseDNS  Specifies whether sshd should look up the remote host name and
| check that the resolved host name for the remote IP address maps back to
| the very same IP address.  The default is ``yes''
`----

Ich denk mal, das war einer der üblichen ScriptKiddie-Versuche und es
wollte einer ganz schlau sein und hat sich eine nicht existierende
Absenderadresse angegeben.

Gruß
Jens



Reply to: