nicht angemeldet
eigenartige Häufung von unberechtigten Zugriffen
robertroth
0 1 0 robertroth
eigenartige Häufung von unberechtigten Zugriffen
robertroth
Liebe Mitdenker, liebe Wissende, liebe Neugierige,
in unserem drei Server auth.log-Dateien (unterschiedliche Hoster) sammeln sich seit Tagen heftig viele Zugriffsversuche von Usern
- pi
- ubnt
über das ganze IP-Spektrum verteilt, allerdings immer ein oder zwei Zugriffe pro IP in 10 Minuten. Fail2ban ist installiert und hat fast keine Kandidaten mehr.
Bei zwei befreundeten Firmen ist das auch so. Auch die "User" pi und ubnt.
Was läuft da? Sieht aus wie eine Art DDoS auf Sparflamme. Die IPs kommen alle aus verschiedenen Netzen. Sollte man das BSI darüber informieren?
Könnt Ihr bitte mal in eure auth.log reinschauen, ob da was ähnliches auftaucht?
Spirituelle Grüße
Euer Robert
robert.r@online.de
--
Möge der wahre Forumsgeist ewig leben!
Möge der wahre Forumsgeist ewig leben!
-
Moin!
- pi
- ubnt
Google sagt:
"ubnt" ist mit dem Passwort "ubnt" ein Standard-Benutzer auf einer WLAN-Box der Firma UBNT.
Mit "pi" wird es ähnlich sein.
über das ganze IP-Spektrum verteilt, allerdings immer ein oder zwei Zugriffe pro IP in 10 Minuten.
Das sind Skript-Kiddies die das Netz scannen. Scheinbar steht mal wieder was in einem "1337" oder "Elite"-Forum und jeder der in solchen Foren aktiven Idioten wirft jetzt Skripte an, die unterschieds- und ziellos einfach jede IP danach scannen.
Fazit:
Grundrauschen.
Nachricht der Geschäftsführung:
Schauen ob ein Gerät oder Server betroffen sein könnte.
Jörg Reinholz
-
Moin!
- pi
- ubnt
Google sagt:
"ubnt" ist mit dem Passwort "ubnt" ein Standard-Benutzer auf einer WLAN-Box der Firma UBNT.
Vermutung war:
Mit "pi" wird es ähnlich sein.
Jörg Reinholz
-
Liebe Mitdenker, liebe Wissende, liebe Neugierige,
Moin!
- pi
- ubnt
Google sagt:
"ubnt" ist mit dem Passwort "ubnt" ein Standard-Benutzer auf einer WLAN-Box der Firma UBNT.
Vermutung war:
Mit "pi" wird es ähnlich sein.
Danke.
Ich muss jetzt erstmal "Aufguss" machen in meiner Ökosauna ;-O
Spirituelle Grüße
Euer Robert
robert.r@online.de--
Möge der wahre Forumsgeist ewig leben!
-
Liebe Mitdenker, liebe Wissende, liebe Neugierige,
- pi
- ubnt
Google sagt:
"ubnt" ist mit dem Passwort "ubnt" ein Standard-Benutzer auf einer WLAN-Box der Firma UBNT.
Mit "pi" wird es ähnlich sein.
über das ganze IP-Spektrum verteilt, allerdings immer ein oder zwei Zugriffe pro IP in 10 Minuten.
Das sind Skript-Kiddies die das Netz scannen. Scheinbar steht mal wieder was in einem "1337" oder "Elite"-Forum und jeder der in solchen Foren aktiven Idioten wirft jetzt Skripte an, die unterschieds- und ziellos einfach jede IP danach scannen.
Fazit:
Grundrauschen.
Solange die bei den nicht existenten Usernamen bleiben, und das keine koordinierte Aktion ist, sehe ich da auch kein Problem.
Nachricht der Geschäftsführung:
Schauen ob ein Gerät oder Server betroffen sein könnte.
Bisher wohl nicht.
Nur etwas eigenartig, dass zur gleichen Zeit auf allen drei Hosts die fail2ban-Kandidaten ausbleiben.Manchmal steckt die eigentliche Botschaft ja in der ausgebliebenen.
Spirituelle Grüße
Euer Robert
robert.r@online.de--
Möge der wahre Forumsgeist ewig leben!