Hallo,
heute morgen erreichte mich eine mail meines rootserver providers in der logs enthalten waren ,wo von meiner serverip spam abuse und hackangriffe auf eine amerikanische uni getätigt wurden. Das ganze sieht soweit so aus:
> Eastern Michigan University has detected inappropriate traffic
> from source IP 213.239.220.178.
>
> Whois records list you as the contact for complaint. This e-mail
> is meant to inform you that this address has been blocked at the
> EMU firewall and will not be removed until we receive a response
> that this traffic will cease, or an explanation for the cause.
>
> Below is a log (limited to 100 lines) showing some break-in attempts (timezone: EST/GMS-5)
>
> Thank you for your time,
> Network Engineering
> Eastern Michigan University
> [email protected]
>
> Logs:
> ./secure.1:Jan 28 18:34:55 www3 sshd[19911]: [ID 800047 auth.info] reverse mapping checking getaddrinfo for mach.meinen.server.nicht.aus.cc [213.239.220.178] failed - POSSIBLE BREAK-IN ATTEMPT!
> ./secure.1:Jan 28 18:34:55 www3 sshd[19911]: [ID 800047 auth.info] reverse mapping checking getaddrinfo for mach.meinen.server.nicht.aus.cc [213.239.220.178] failed - POSSIBLE BREAK-IN ATTEMPT!
> ./secure.1:Jan 28 18:34:55 www2 sshd[25978]: [ID 800047 auth.error] error: PAM: No account present for user for illegal user mooha from 213.239.220.178
> ./secure.1:Jan 28 18:34:55 www3 sshd[19911]: [ID 800047 auth.info] Invalid user cstrike from 213.239.220.178
> ./secure.1:Jan 28 18:34:55 www3 sshd[19911]: [ID 800047 auth.info] Invalid user cstrike from 213.239.220.178
> ./secure.1:Jan 28 18:34:55 www3 sshd[19911]: [ID 800047 auth.error] error: PAM: No account present for user for illegal user cstrike from 213.239.220.178
> ./secure.1:Jan 28 18:34:55 www3 sshd[19914]: [ID 800047 auth.info] reverse mapping checking getaddrinfo for mach.meinen.server.nicht.aus.cc [213.239.220.178]
so geht das ganze noch ne Weile weiter. Ich habe derweil sofort alle prozesse gekillt die mir unbekannt waren sowie alle user gesperrt und die passwörter geändert. Allerdings kann ich nicht sagen wie viel schaden genau angerichtet wurde, und wenn welche Hintertürchen in mein System eingebaut worden sind.
Betriebsystem ist SuSe Linux.
Desweiteren sind
4912 tty6 Ss+ 0:00 /sbin/mingetty tty6
4915 tty1 Ss+ 0:00 /sbin/mingetty --noclear tty1
4917 tty2 Ss+ 0:00 /sbin/mingetty tty2
4919 tty3 Ss+ 0:00 /sbin/mingetty tty3
4921 tty4 Ss+ 0:00 /sbin/mingetty tty4
4923 tty5 Ss+ 0:00 /sbin/mingetty tty5
diese Prozesse immer offen und lassen sich nicht killen. Wäre nett wenn mir jemand weiterhelfen könnte?
Grüße
heute morgen erreichte mich eine mail meines rootserver providers in der logs enthalten waren ,wo von meiner serverip spam abuse und hackangriffe auf eine amerikanische uni getätigt wurden. Das ganze sieht soweit so aus:
> Eastern Michigan University has detected inappropriate traffic
> from source IP 213.239.220.178.
>
> Whois records list you as the contact for complaint. This e-mail
> is meant to inform you that this address has been blocked at the
> EMU firewall and will not be removed until we receive a response
> that this traffic will cease, or an explanation for the cause.
>
> Below is a log (limited to 100 lines) showing some break-in attempts (timezone: EST/GMS-5)
>
> Thank you for your time,
> Network Engineering
> Eastern Michigan University
> [email protected]
>
> Logs:
> ./secure.1:Jan 28 18:34:55 www3 sshd[19911]: [ID 800047 auth.info] reverse mapping checking getaddrinfo for mach.meinen.server.nicht.aus.cc [213.239.220.178] failed - POSSIBLE BREAK-IN ATTEMPT!
> ./secure.1:Jan 28 18:34:55 www3 sshd[19911]: [ID 800047 auth.info] reverse mapping checking getaddrinfo for mach.meinen.server.nicht.aus.cc [213.239.220.178] failed - POSSIBLE BREAK-IN ATTEMPT!
> ./secure.1:Jan 28 18:34:55 www2 sshd[25978]: [ID 800047 auth.error] error: PAM: No account present for user for illegal user mooha from 213.239.220.178
> ./secure.1:Jan 28 18:34:55 www3 sshd[19911]: [ID 800047 auth.info] Invalid user cstrike from 213.239.220.178
> ./secure.1:Jan 28 18:34:55 www3 sshd[19911]: [ID 800047 auth.info] Invalid user cstrike from 213.239.220.178
> ./secure.1:Jan 28 18:34:55 www3 sshd[19911]: [ID 800047 auth.error] error: PAM: No account present for user for illegal user cstrike from 213.239.220.178
> ./secure.1:Jan 28 18:34:55 www3 sshd[19914]: [ID 800047 auth.info] reverse mapping checking getaddrinfo for mach.meinen.server.nicht.aus.cc [213.239.220.178]
so geht das ganze noch ne Weile weiter. Ich habe derweil sofort alle prozesse gekillt die mir unbekannt waren sowie alle user gesperrt und die passwörter geändert. Allerdings kann ich nicht sagen wie viel schaden genau angerichtet wurde, und wenn welche Hintertürchen in mein System eingebaut worden sind.
Betriebsystem ist SuSe Linux.
Desweiteren sind
4912 tty6 Ss+ 0:00 /sbin/mingetty tty6
4915 tty1 Ss+ 0:00 /sbin/mingetty --noclear tty1
4917 tty2 Ss+ 0:00 /sbin/mingetty tty2
4919 tty3 Ss+ 0:00 /sbin/mingetty tty3
4921 tty4 Ss+ 0:00 /sbin/mingetty tty4
4923 tty5 Ss+ 0:00 /sbin/mingetty tty5
diese Prozesse immer offen und lassen sich nicht killen. Wäre nett wenn mir jemand weiterhelfen könnte?
Grüße
Kommentar