PW Bruter? [auth.log]

M.Ali · 10. Dezember 2012

Hallo Freunde,
bin neu hier im Forum und ich hoffe hier gibt es einige die ahnung davon haben.

Problem 1:
Ich habe ein Teamspeak 3 auf mein vServer laufen.
Seit heute passiert folgendes. Ich fahre mein TS3 auf dem Standartport hoch. Nach einer weile werde ich + andere von meinem TS3 diconnectet [connection lost] und man wird auf eine andere IP wo zufällig auch ein TS3 installiert ist weitergeleitet. Ich fahre dann mein TS3 wieder runter + starte es neu funktioniert es. Nach einer weile passiert das gleiche. Es laufen auch andere TS3 Server auf anderen Ports auf mein Vserver und die sind nicht davon betroffen. Was ich denke, irgend jemand muss da Port Forwarding eingebaut haben oder, ich meine wie soll das sonst gehen?
Frage wie findeherraus ob jemand irgendwo eine reglung eingebaut hat, wo muss ich da gucken?
Irgend jemand müsste ja auf dem vServer gewesen sein um das überhaupt zu bewerkstelligen oder?
Gibt es vieleicht eine aktuelle sicherheitslücke in den neusten ts3 serverfiles? auf der webseite habe ich nichts gefunden.
Ich habe den Server erstmal runtergefahren.

Problem 2:
Nachdem das passiert ist habe ich meine auth.log Datei durchsucht und einige mehrere Zeilen scheinen mir auf brutangriff.
Ich finde aber nichs wo ich davon ausgehen könnte das jemand auf dem Server war?!!

Hier probiert einer per root pw´s zu testen, denke ich oder?

Code

Dec 10 18:42:34 vxxxxx sshd[32159]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=li410-40.members.linode.com  user=root
Dec 10 18:42:36 vxxxxx sshd[32159]: Failed password for root from 106.187.90.40 port 53363 ssh2
Dec 10 18:42:38 vxxxxx sshd[32200]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=li410-40.members.linode.com  user=root
Dec 10 18:42:40 vxxxxx sshd[32200]: Failed password for root from 106.187.90.40 port 54157 ssh2
Dec 10 18:42:43 vxxxxx sshd[32242]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=li410-40.members.linode.com  user=root
Dec 10 18:42:45 vxxxxx sshd[32242]: Failed password for root from 106.187.90.40 port 55024 ssh2
Dec 10 18:42:47 vxxxxx sshd[32271]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=li410-40.members.linode.com  user=root
Dec 10 18:42:49 vxxxxx sshd[32271]: Failed password for root from 106.187.90.40 port 55942 ssh2
Dec 10 18:42:52 vxxxxx sshd[32289]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=li410-40.members.linode.com  user=root
Dec 10 18:42:54 vxxxxx sshd[32289]: Failed password for root from 106.187.90.40 port 56815 ssh2
Dec 10 18:42:56 vxxxxx sshd[32354]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=li410-40.members.linode.com  user=root
Dec 10 18:42:58 vxxxxx sshd[32354]: Failed password for root from 106.187.90.40 port 57640 ssh2
Dec 10 18:43:00 vxxxxx sshd[32387]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=li410-40.members.linode.com  user=root
Dec 10 18:43:02 vxxxxx sshd[32387]: Failed password for root from 106.187.90.40 port 58528 ssh2

Alles anzeigen

Hier probiert einer verschiedene user + pw oder?

Code

Dec 10 18:45:29 vxxxxx sshd[5676]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=li410-40.members.linode.com 
Dec 10 18:45:31 vxxxxx sshd[5676]: Failed password for invalid user nagios from 106.187.90.40 port 58830 ssh2
Dec 10 18:45:34 vxxxxx sshd[5765]: Invalid user coremail from 106.187.90.40
Dec 10 18:45:34 vxxxxx sshd[5765]: pam_unix(sshd:auth): check pass; user unknown
Dec 10 18:45:34 vxxxxx sshd[5765]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=li410-40.members.linode.com 
Dec 10 18:45:36 vxxxxx sshd[5765]: Failed password for invalid user coremail from 106.187.90.40 port 59624 ssh2
Dec 10 18:45:38 vxxxxx sshd[5861]: Invalid user postgres from 106.187.90.40
Dec 10 18:45:38 vxxxxx sshd[5861]: pam_unix(sshd:auth): check pass; user unknown
Dec 10 18:45:38 vxxxxx sshd[5861]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=li410-40.members.linode.com 
Dec 10 18:45:40 vxxxxx sshd[5861]: Failed password for invalid user postgres from 106.187.90.40 port 60418 ssh2
Dec 10 18:45:42 vxxxxx sshd[5910]: Invalid user tomcat from 106.187.90.40
Dec 10 18:45:42 vxxxxx sshd[5910]: pam_unix(sshd:auth): check pass; user unknown
Dec 10 18:45:42 vxxxxx sshd[5910]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=li410-40.members.linode.com 
Dec 10 18:45:44 vxxxxx sshd[5910]: Failed password for invalid user tomcat from 106.187.90.40 port 32974 ssh2
Dec 10 18:45:46 vxxxxx sshd[5950]: Invalid user teamspeak from 106.187.90.40
Dec 10 18:45:46 vxxxxx sshd[5950]: pam_unix(sshd:auth): check pass; user unknown
Dec 10 18:45:46 vxxxxx sshd[5950]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=li410-40.members.linode.com 
Dec 10 18:45:48 vxxxxx sshd[5950]: Failed password for invalid user teamspeak from 106.187.90.40 port 33785 ssh2
Dec 10 18:45:50 vxxxxx sshd[6008]: Invalid user zabbix from 106.187.90.40
Dec 10 18:45:50 vxxxxx sshd[6008]: pam_unix(sshd:auth): check pass; user unknown
Dec 10 18:45:50 vxxxxx sshd[6008]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=li410-40.members.linode.com 
Dec 10 18:45:52 vxxxxx sshd[6008]: Failed password for invalid user zabbix from 106.187.90.40 port 34561 ssh2

Alles anzeigen

Ich hoffe einer kann mir das helfen. Ich probiere mich zurechtzusuchen jedoch ist das bisschen schwer weil ich wenig finde,

mfg

M.Ali · 10. Dezember 2012

also netstat -tn zeigt auch nichts auffälliges, mit lsof habe ich paar ports durchgeguckt jedoch finde ich da auch nichts auffälliges,
nur ich bin verbunden

Mainboarder · 10. Dezember 2012

Ich kenne zwar TS nicht, aber das sollte sicher auch Logs anlegen. Die Auszüge zum entsprechenden Zeitpunkt helfen, wenn schon nicht dir, hoffentlich uns.

Zu den SSH-Attacken:
Die SSH Bruteforce Attacken sind normal. Du solltest aber da noch aktiv nachbessern. Zum Beispiel mit dem Skript von Sim: Fail2Ban Script für die VCP API
Dann werden die IPs für eine bestimmte Zeit in die Firewall geschrieben und können sich nicht mehr zu dir verbinden.
Womöglich noch SSH auf einen anderen Port verschieben. Die meisten Bots versuchen nur Port 22.
Ist der direkte Rootlogin deaktiviert? Womöglich wäre auch einer Authentifizierung mittels Key ins Auge zu fassen.

Sry, wenn das etwas abschweifend war, aber ich bin in der Annahme, dass du dein System noch weiter absichern kannst und das ist, denke ich, im Interesse aller.

M.Ali · 10. Dezember 2012

Was komisch ist,
Ich rede grad mit dem Admin von dem TS3 Server auf den ich halt nachdem meiner down ist weitergeleitet werde.
So, wenn mein TS3 Server neugestartet wird geht seiner down und jeder kann durch seine IP auf mein TS3. Wenn er weider neustartet passiert das gleiche andersrum.
Sowas habe ich noch nie erlebt.. wie kann das sein?

PS: die sicherheit werde ich morgen am besten erhöhen (fail2ban ist pflicht)

mfg

fallobst · 10. Dezember 2012

Du musst den teamspeak server an die ip adresse deines vservers binden.

M.Ali · 10. Dezember 2012

Update:
Er hostet auch bei Netcup und er hat den "vS Neptun light" Server.
Die IP´s sind aber anders. Ich finde irgendwie kein sinn?!

@fallobst
wie meinst du das genau?

fallobst · 10. Dezember 2012

Siehe hier: http://www.netcup-wiki.de/wiki/Teamspeak_3

Ziemlich weit unten unter "konfigurieren per ini datei"

Track1991 · 10. Dezember 2012

Das Lizenzsystem von Teamspeak 3 ist einfach schlecht gelöst worden. [Bug]

Bei den Problem ganz Oben sehe ich das sich jemannd mit der IP 106.187.90.40 auf den Server mit den Root Account verbinden möchte.

Folgende Lösungen sind möglich:
1. IP in der Firewall sperren
2. SSH Zugang über Root nicht mehr erlauben
3. In der Firewall einstellen das nur eine bestimmter IP Bereich über Port 22 reinkommt
4. Den Port von SSH Server ändern z.B 9999
5. Login nur mit Keyfiels durchführen, sprich kein Kennwort

Tipps zur der Firewall und weitere Tipps findet man in dieser Forum sehr oft.
Einfach mal die Suche verwenden.

Das Thema mit den Teamspeak 3 Server Problem wurde schon sehr oft diskutiert.

M.Ali · 10. Dezember 2012

Super,
danke an alle, es geht nun, lag an der config.
Ich werde euren rat folgen und morgen mal alles sicherer machen.
War schon ein schok heute.

Tags