[solved] SSH Loginversuch entdeckt der technisch gar nicht möglich sein sollte

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
Benutzeravatar
speefak
Beiträge: 438
Registriert: 27.04.2008 13:54:20

[solved] SSH Loginversuch entdeckt der technisch gar nicht möglich sein sollte

Beitrag von speefak » 21.05.2021 12:10:59

Moin,

beim routinemäßigen Durchsehen der Logs vom NAS und Server ist mir gerade ein sehr seltsamer Logeintrag aufgefallen.

Kurze Info zum LAN : Webserver ist vom Inet aus erreichbar das NAS ist nur über 1 Port erreichbar. Auf beiden ist Fail2Ban installiert mit einigen selbst geschrieben Scripten zum Blacklisten über iptables wenn zu viele BANs erfolgen - läuft seit 4-5 Jahren ohne irgendwelche Probleme

Jetzt sehe ich allerdings, das Fail2Ban auf dem NAS ein SSH Login von 161.97.166.249 geblockt hat. Da frage ich mich als erstes: wie soll das gehen, vom Netz kann man nicht auf das NAS zugreifen, aber 161.97.166.249 ist weder eine meiner LAN IPs noch in der Netrange. IPv6 ist abgeschaltet ( ich hatte da vor ein paar Jahren festgestellt, dass IPv6 OHNE Portforwarding direkt auf Systeme hinter dem Router zugreifen kann, ich konnte von einem externen Anschluß auf alle Rechner hinter meinen Router zugreifen - ohne irgendwas dergleichen einstellt zu haben ).

Bleibt nur noch die Möglichkeit ggf. über einen SSH Tunnel des Webservers ins LAN zu kommen. Dann würde auch der Zugriff der o.g. IP passen ( keine LAN IP ). Jetzt habe ich meine Server mal genauer unter die Lupe genommen und sehe dort keine SSH oder sonstigen fragwürdigen Login ( finger, last ).

Sollte jmd. über Nacht den Server unter seine Kontrolle gebracht haben und die Logs gelöscht haben spielt das keine Rolle, da erstens jeder SSH Login protokolliert und das Protokoll dann per Mail versandt wird. Somit kann ich ausschließen, das der Server der mit o.g. Ports im Netz hängt als Brückenkopf mißbraucht wurde.

Wenn es ein Gerät im WLAN wäre müßte allerdings eine LAN IP geblockt sein und nicht 161.97.166.249. Lt. Logs wurde kein neues Gerät im LAN registriert. Also kann auch das ausgeschlossen werden. Rkhunter zeigt auch keine Auffälligkeiten.

Was mich gerade ein wenig beunruhigt sind die Ergebnisse der Googlesuche : https://www.google.com/search?client=fi ... 97.166.249

die IP taucht in Diversen Blacklists und Antivirenlisten auf.

Hat jmd. mehr Details dazu oder kann mir noch weitere Ansätze nennen um aufzuklären woher der geblockte Login kam ?
Zuletzt geändert von speefak am 21.05.2021 15:21:30, insgesamt 2-mal geändert.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: SSH Loginversuch entdeckt der technisch gar nicht möglich sein sollte

Beitrag von mat6937 » 21.05.2021 12:33:58

speefak hat geschrieben: ↑ zum Beitrag ↑
21.05.2021 12:10:59
... ( ich hatte da vor ein paar Jahren festgestellt, dass IPv6 OHNE Portforwarding direkt auf Systeme hinter dem Router zugreifen kann, ich konnte von einem externen Anschluß auf alle Rechner hinter meinen Router zugreifen - ohne irgendwas dergleichen einstellt zu haben ).
Dann hast Du einen Router ohne v6-Firewall benutzt. Die FritzBox hat eine v6-Firewall (die per default alles IPv6 blockt).

EDIT:
speefak hat geschrieben: ↑ zum Beitrag ↑
21.05.2021 12:10:59
Webserver ist vom Inet aus erreichbar ...
Der Webserver ist aber nicht für Alle (Öffentlichkeit) aus dem Internet erreichbar, oder? ... denn wenn doch, dann würdest Du ja nicht fail2ban auch für den Webserver benutzen.

uname
Beiträge: 12041
Registriert: 03.06.2008 09:33:02

Re: SSH Loginversuch entdeckt der technisch gar nicht möglich sein sollte

Beitrag von uname » 21.05.2021 13:28:35

Ein "grep" über Logzeilen kann die Ausgaben leider auch verfälschen. Aber so wie ich sie lese, wurden die Versuche alle von der eigenen IP-Adresse durchgeführt. Dafür brauchst du nur einen Login übersehen haben. Oder du hast irgendein Script ausgeführt, dass die Angriffe durchgeführt hat.
Warst du zu dem Zeitpunkt per SSH angemeldet? Unter der Annahme der Benutzer ist nicht root geworden, könntest du noch mal die Lastlogs durchschauen. Im Zweifel gibt es nur eine Lösung: Platt machen.

Es ist Schwachsinn Schadcode beseitigen zu können. Gilt für Windows wie für Linux.

Benutzeravatar
speefak
Beiträge: 438
Registriert: 27.04.2008 13:54:20

Re: SSH Loginversuch entdeckt der technisch gar nicht möglich sein sollte

Beitrag von speefak » 21.05.2021 14:12:58

mat6937 hat geschrieben: ↑ zum Beitrag ↑
21.05.2021 12:33:58
speefak hat geschrieben: ↑ zum Beitrag ↑
21.05.2021 12:10:59
... ( ich hatte da vor ein paar Jahren festgestellt, dass IPv6 OHNE Portforwarding direkt auf Systeme hinter dem Router zugreifen kann, ich konnte von einem externen Anschluß auf alle Rechner hinter meinen Router zugreifen - ohne irgendwas dergleichen einstellt zu haben ).
Dann hast Du einen Router ohne v6-Firewall benutzt. Die FritzBox hat eine v6-Firewall (die per default alles IPv6 blockt).

EDIT:
speefak hat geschrieben: ↑ zum Beitrag ↑
21.05.2021 12:10:59
Webserver ist vom Inet aus erreichbar ...
Der Webserver ist aber nicht für Alle (Öffentlichkeit) aus dem Internet erreichbar, oder? ... denn wenn doch, dann würdest Du ja nicht fail2ban auch für den Webserver benutzen.
Der Webserver ist aus dem Netz erreichbar, darauf laufen ja die Webseiten. Das NAS ist NICHT aus dem Netz erreichbar, darum wundert mich ja der F2B Ban auf dem NAS. Webserver kann man doch auch super mit F2B absichern, in dem man Jails für die dem entsprechenden Logs anpaßt oder erstellt.

Benutzeravatar
speefak
Beiträge: 438
Registriert: 27.04.2008 13:54:20

Re: SSH Loginversuch entdeckt der technisch gar nicht möglich sein sollte

Beitrag von speefak » 21.05.2021 14:24:43

uname hat geschrieben: ↑ zum Beitrag ↑
21.05.2021 13:28:35
Ein "grep" über Logzeilen kann die Ausgaben leider auch verfälschen. Aber so wie ich sie lese, wurden die Versuche alle von der eigenen IP-Adresse durchgeführt. Dafür brauchst du nur einen Login übersehen haben. Oder du hast irgendein Script ausgeführt, dass die Angriffe durchgeführt hat.
Warst du zu dem Zeitpunkt per SSH angemeldet? Unter der Annahme der Benutzer ist nicht root geworden, könntest du noch mal die Lastlogs durchschauen. Im Zweifel gibt es nur eine Lösung: Platt machen.

Es ist Schwachsinn Schadcode beseitigen zu können. Gilt für Windows wie für Linux.
Es liefer weder Scripte noch aktive Logins in dem Zeitraum :?:

"Aber so wie ich sie lese, wurden die Versuche alle von der eigenen IP-Adresse durchgeführt"
Wie kommste darauf ? die Quell IP ist doch eine WAN IP ?

"Es ist Schwachsinn Schadcode beseitigen zu können. Gilt für Windows wie für Linux."
Genau davor graut es mir. Alles neu aufzusetzen dauert Tage bis Wochen und kommt - wie immer - gerade zu einem sehr schlechten Zeitpunkt :(

Ich frage mich auch gerade ob der Loginversuch von einem anderen System im LAN kommen könnte ( Android Tablet mit China apps z.B. ) und ich mir die Neuinstallation des NAS ggf. sparen kann zumal ein Loginversuch abgewehrt wurde und nicht stattfand ?

Würde Sinn machen für ein paar Tage ALLE Verbindungen zum NAS aufzuzeichnen ( z.B. mit iptables/netcat/ http://fritz.box/html/capture.html etc. ) ?

Benutzeravatar
speefak
Beiträge: 438
Registriert: 27.04.2008 13:54:20

Re: SSH Loginversuch entdeckt der technisch gar nicht möglich sein sollte

Beitrag von speefak » 21.05.2021 15:13:38

Ich habe die SSH Route gefunden ;) Der Fehler saß wie so oft vorm Bildschirm :facepalm:

Es war ein SSH "Failsaveforward" direkt aufs NAS, das nach der letzten Aktivierung nicht wieder abgeschaltet wurde. Der Port war auch nicht der 22ger - da hat sich jmd. die Mühe gemacht und ein ausführlichen Portscan laufen lassen.

Damit kann ich mir ein Neuaufsezten des NAS wohl sparen ;)

Antworten