Abuse Meldung, was tun

  • Guten Tag Forum,


    Ich habe eine Abuse-Meldung erhalten, weiss aber nicht genau, was ich damit anfangen soll.



    Port 9987 ist mein Teamspeak-Server, 2303 ist mein Arma3 Server und 22 ist halt ssh


    hat jemand eine Ahnung was hier passiert ist?


    MFG


    Vio

  • Hallo Vio,


    was mir auffällt ist folgende Zeile:


    188.68.54.153:42359 -> 107.161.19.54:80 29.3 M 16.7 G


    Diese alleine könnte bereits den Abuse ausgelöst haben.
    Die Adresse 107.161.19.54 gehört scheinbar zu einem Server-Hoster. (107.161.19.54, United States, Washington, Seattle, RamNode LLC | IPLocationTools.com -> domain-name)
    Sollte dorthin ein Upload/Backup regulär initiiert worden sein, scheint es kein Problem gegeben zu haben, da es gewünschter Traffic war und keine Malware oder ähnliches...


    VG
    Andreas

  • Und die:

    Code
    188.68.54.153:22 -> 116.31.116.27:55474 250 13000


    Die bedeutet nämlich dass jemand aus einem Chinesischen Netz per SSH auf dem Server ist. Das ist gar nicht gut!


    EDIT: Könnte aber auch nur einer der üblichen Scans sein so auf den zweiten Blick, kontrollieren würde ich es trotzdem.

  • Vielen Dank für die Antwort, jedoch ist mir nichts davon bewusst, wenn ich die IP im Browser eingebe erscheint eine Website, welche ich aber nicht kenne und welche noch Beispieldaten "Lorem Ipsum" etc. als Inhalt hat.

  • Und die:

    Code
    188.68.54.153:22 -> 116.31.116.27:55474 250 13000


    Die bedeutet nämlich dass jemand aus einem Chinesischen Netz per SSH auf dem Server ist. Das ist gar nicht gut!

    Da ich fail2ban installiert habe, sollte dies kein Problem sein, der alleinige Versuch zu verbinden ist zwar nicht erwünscht, jedoch sollte dies kein Problem sein. Oder?

  • fail2ban schützt doch nicht pauschal davor, dass sich jemand zu dir verbindet?
    Ich würde da stark vermuten, dass eben einfach vielleicht durch alte Software "gehackt" worden bist, und da jemand deinen Host für irgendwelche Dinge als Zwischenträger nutzt.

  • Um sicherzugehen bleibt eigentlich nur das Neuaufsetzen, inkl. Änderung aller Passwörter & SSH Keys.


    Fail2Ban schützt dich nur davor, dass jemand einen Brute Force Angriff auf den SSH Login durchführt. Wenn du ein schwaches Standardpasswort wählst oder der Angreifer über eine Schwachstelle auf dein System kommt, nützt dir das gar nichts.