.htaccess überschrieben

Matthias schreibt
am 16. July 2007

Heute habe ich die nachfolgende Frage im Wordpress-Forum eingestellt, aber vielleicht weiss einer meiner Leser ebenfalls Rat:

Gestern in der Nacht waren plötzlich die .htaccess Dateien von zweien meiner Blogs, unter anderem rentaseo.de gelöscht. Vorsichtshalber habe ich auf rootkits gecheckt - die Scanner haben aber nichts aufgedeckt. Woran könnte es liegen? An Wordpress? Allerdings habe ich zu der Zeit nichts “geschraubt”.

NACHTRAG - Solange alles “rund” läuft kotrolliere ich an meinen Servern nichts. Gerade bin ich in den Logfiles … nicht schön was ich da sehe …

Jul 10 22:48:18 p15126025 sshd[18429]: Illegal user access from ::ffff:85.230.207.234
Jul 10 22:48:19 p15126025 sshd[18432]: Illegal user airplane from ::ffff:85.230.207.234
Jul 10 22:48:19 p15126025 sshd[18434]: Illegal user algebra from ::ffff:85.230.207.234
Jul 10 22:48:20 p15126025 sshd[18436]: Illegal user aliases from ::ffff:85.230.207.234
Jul 10 22:48:21 p15126025 sshd[18438]: Illegal user alphabet from ::ffff:85.230.207.234
Jul 10 22:48:21 p15126025 sshd[18440]: Illegal user analog from ::ffff:85.230.207.234
Jul 10 22:48:22 p15126025 sshd[18442]: Illegal user andromac from ::ffff:85.230.207.234
Jul 10 22:48:23 p15126025 sshd[18444]: Illegal user animals from ::ffff:85.230.207.234

Seit mehreren Wochen (mindestens) wird mein sshd quasi im Minuten-Takt angepingt. Normal ist das nicht, oder?

Weitere Artikel zu den Stichworten ,

Wenn Sie eine eigene Meinung dazu haben, schreiben Sie doch einen Kommentar. Oder vielleicht möchten Sie aktuell über neue Beiträge informiert werden, dann abonnieren Sie doch den Feed.

Kommentare
Comment von Marco am 16. July 2007 um 9:08

SSH-Scans sind ganz normaler Wahnsinn… Genau wie FTP-, POP3-, SMTP-Scans. Abhilfe können Programme wie Fail2Ban schaffen, die nach ein paar fehlgeschlagenen Versuchen den Angreifer aussperren.

Comment von Matthias am 16. July 2007 um 9:35

Was ist denn schon normal:


Jul 15 20:35:16 ipx10784 sshd[10988]: Invalid user aggie from 147.230.73.129
Jul 15 20:35:17 ipx10784 sshd[10990]: Invalid user aglaia from 147.230.73.129
Jul 15 20:35:17 ipx10784 sshd[10992]: Invalid user agnes from 147.230.73.129
Jul 15 20:35:17 ipx10784 sshd[10994]: Invalid user agostino from 147.230.73.129
Jul 15 20:35:17 ipx10784 sshd[10997]: Invalid user agrata from 147.230.73.129
Jul 15 20:35:18 ipx10784 sshd[10999]: Invalid user agu from 147.230.73.129
Jul 15 20:35:18 ipx10784 sshd[11001]: Invalid user ahanu from 147.230.73.129
Jul 15 20:35:18 ipx10784 sshd[11003]: Invalid user ahava from 147.230.73.129
Jul 15 20:35:18 ipx10784 sshd[11005]: Invalid user ahmad from 147.230.73.129
Jul 15 20:35:19 ipx10784 sshd[11007]: Invalid user ahmed from 147.230.73.129
Jul 15 20:35:19 ipx10784 sshd[11009]: Invalid user ai from 147.230.73.129
Jul 15 20:35:19 ipx10784 sshd[11011]: Invalid user aida from 147.230.73.129
Jul 15 20:35:19 ipx10784 sshd[11013]: Invalid user aidan from 147.230.73.129
Jul 15 20:35:19 ipx10784 sshd[11016]: Invalid user aideen from 147.230.73.129
Jul 15 20:35:20 ipx10784 sshd[11018]: Invalid user aiden from 147.230.73.129
Jul 15 20:35:20 ipx10784 sshd[11020]: Invalid user aiken from 147.230.73.129
Jul 15 20:35:20 ipx10784 sshd[11022]: Invalid user aiko from 147.230.73.129
Jul 15 20:35:20 ipx10784 sshd[11024]: Invalid user ailani from 147.230.73.129
Jul 15 20:35:21 ipx10784 sshd[11026]: Invalid user aileen from 147.230.73.129
Jul 15 20:35:22 ipx10784 sshd[11029]: Invalid user ailis from 147.230.73.129

Seit Jahren ;-)

Comment von Michael am 16. July 2007 um 9:46

Zum SSH-Ping: Schön ist das wirklich nicht. Aber solange du sichere Passwörter benutzt, ist es ja nicht wirklich gefährlich. Wenn du Befürchtungen hast, dass jemand über SSH reinkommen könnte, dann hilft in der Regel ein Verschieben des Ports. Zum Beispiel auf Port 222. Dann laufen die ins Leere.
Geht natürlich nur bei eigenem Server.

Gruss,

Michael

Comment von Christian am 16. July 2007 um 11:02

Hallo Matthias!

Um SSH abzusichern (mach ich immer, weil für OpenSSL und SSH immer wieder mal Bugs mit entsprechenden Remote-Exploits bekannt werden):

http://en.wikipedia.org/wiki/Port_knocking
oder den Port 22 für die Welt filtern und nur für Deine (statische) IP-Adresse öffnen. In diesem zweiten Fall empfehle ich Dir, noch eine weitere (statische) IP-Adresse hinzuzufügen, als “Backup” sozusagen.

bis dann
Christian

Comment von Juniperus am 24. July 2007 um 15:00

Ich kann echt empfehlen den (wie Christian schon angemerkt hat) Port 22 nur von einer statischen IP zuzulassen.

Eine möglichkeit ist aber auch (wenn 1. nicht geht) SSH auf einem oberen Port lauschen zu lassen. Die Scanner machen sich in der Regel nicht die Mühe “so weit oben” zu Scannen (also auch höher 222).

Außerdem würde ich auf Passwort-Authentifikation verzichten. (dann gehts kaum sicherer)

Einen Kommentar schreiben

(required)

(required)


Hinweis: Für Kommentare mit eindeutig werblichen Inhalt werden ggf. 500 EUR,- (zzgl. der gültigen MwSt.) in Rechnung gestellt.

Geschützt durch SpamBam
(231806 Spamkommentare gefiltert)