SSH drunter und drüber mit Anmeldeversuchen - Heartbleed?
https://stackoverflow.com/questions/9388288
-
28-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Kürzlich in meinem (Snow Leopard) Mac Mini /var/log/secure.log gesehen:
Feb 17 06:31:32 mini sshd[37945]: Invalid user charles from 220.248.31.177
Feb 17 06:31:34 mini sshd[37947]: Invalid user charlie from 220.248.31.177
Feb 17 06:31:37 mini sshd[37949]: Invalid user charlotte from 220.248.31.177
Feb 17 06:31:39 mini sshd[37951]: Invalid user chase from 220.248.31.177
Feb 17 06:31:42 mini sshd[37953]: Invalid user cher from 220.248.31.177
Feb 17 06:31:44 mini sshd[37955]: Invalid user chester from 220.248.31.177
Feb 17 06:31:47 mini sshd[37957]: Invalid user chile from 220.248.31.177
Feb 17 06:31:49 mini sshd[37959]: Invalid user chip from 220.248.31.177
Es gibt auch eine ganze Reihe davon:
Feb 17 13:55:23 mini sshd[43204]: Invalid user beth from 23.19.81.173
Feb 17 13:55:23 mini sshd[43206]: in pam_sm_authenticate(): Failed to determine Kerberos principal name.
Feb 17 13:55:23 mini sshd[43204]: error: PAM: authentication error for illegal user beth from 23.19.81.173 via 192.168.0.2
Feb 17 13:55:23 mini sshd[43204]: Failed keyboard-interactive/pam for invalid user beth from 23.19.81.173 port 59508 ssh2
Feb 17 13:55:29 mini sshd[43207]: reverse mapping checking getaddrinfo for 23.19.81.173.rdns.ubiquity.io [23.19.81.173] failed - POSSIBLE BREAK-IN ATTEMPT!
Alles beginnt um den 6. Februar und dauert bis zum 20. Februar, als ich es entdeckte und die Weiterleitung von Port 22 meines Routers deaktivierte. Die Versuche kommen von vielen IP-Adressen, China, Nordamerika, Gott weiß wo sonst (ich habe sie nicht alle überprüft), aber die Ups sind immer in langen Sitzungen zusammengefasst, wie Sie hier sehen. Megabyte wert. Es scheint keinen Hinweis auf eine erfolgreiche Anmeldung zu geben - ich habe einen nicht standardmäßigen Benutzernamen -, aber hier ist der lustige Teil, der mich beunruhigt hat ...
Ich habe mich nur darum gekümmert, die Protokolle zu überprüfen, weil ich mich nicht bei einem bestimmten zweiten Konto anmelden konnte - das Passwort hatte sich geändert. Frustriert habe ich versucht, mich als root anzumelden, aber das root-Passwort hat sich ebenfalls geändert . Das Passwort für meine reguläre Benutzeranmeldung, die immer angemeldet ist, wurde jedoch nicht geändert.
Ich habe die Passwörter korrigiert und musste wie gewohnt als Einzelbenutzer root arbeiten. Alles andere scheint normal zu sein, aber die Passwortänderungen haben mich sehr beunruhigt. Hat jemand von so etwas gehört? Wie kann ich wissen, ob ich gehackt wurde?
Sehr verpflichtet.
Lösung
Wenn sich Ihre Passwörter ohne Ihr Wissen in Ihrem System geändert haben - und Sie sind der einzige, der Zugriff hat - dann sind Sie wahrscheinlich bereits kompromittiert.Nuke und Pave.
