Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[Heim-Server] Brute SSH Attacke
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German)
View previous topic :: View next topic  
Author Message
Finswimmer
Moderator
Moderator


Joined: 02 Sep 2004
Posts: 5382
Location: Langen (Hessen), Germany

PostPosted: Tue Feb 12, 2013 10:09 am    Post subject: [Heim-Server] Brute SSH Attacke Reply with quote

Hi,

mein Rechner, der von außen per DynDNS erreichbar ist, hat sich heute komisch verhalten.
Es ging fast alles norml, nur htop, ps aux haben nicht mehr richtig funktioniert.
In den Logs sah ich unzählige vergebliche SSH-Login Versuche. (Ich lasse nur die publickey Methode zu).

Kann es sein, dass dadurch der PC "schlapp" gemacht hat?
Ich habe jetzt fail2ban mit iptables installiert.

Nur würde ich gerne wissen, was mit dem PC los war...
free -m, df -h haben normale Werte angezeigt.
Ob ein Prozess 100% CPU hat, konnte ich nicht feststellen, da ja htop, ps nicht gingen.

Danke
Tobi
_________________
Bitte auf Rechtschreibung, korrekte Formatierung und Höflichkeit achten!
Danke
Back to top
View user's profile Send private message
cryptosteve
Veteran
Veteran


Joined: 04 Jan 2004
Posts: 1070
Location: Buchholz/GER

PostPosted: Tue Feb 12, 2013 11:05 am    Post subject: Reply with quote

Moin,

was heisst denn "haben nicht mehr richtig funktioniert"?

Normalerweise sollte sowas nicht beeinträchtigt sein, allenfalls die Netzverbindung kann in die Knie gehen, aber auch das ist im normalen Rauschen des Netzes bei aktuellen Verbindungen eher unwahrscheinlich.
_________________
- born to create drama -
cryptosteve - gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D
Back to top
View user's profile Send private message
Yamakuzure
Veteran
Veteran


Joined: 21 Jun 2006
Posts: 1374
Location: Bardowick, Germany

PostPosted: Tue Feb 12, 2013 11:28 am    Post subject: Reply with quote

Also die SSH-Versuche sind "normal". (Script-Kiddies.) fail2ban ist eine sehr gut Idee. Wenn [h]top nicht mehr starten möchte, liegt das meistens an einer verstopften Netzleitung, zumindest war das bei unseren Servern hier immer so. Andernfalls könntest du, falls du die Uhrzeit noch weißt, in /var/log/messages schauen, ob zu dem Zeitpunkt etwas Anderes komisch war. Ich hatte mal den Fall, dass SSH zu einem Debian-Server (LAN, wohlgemerkt) sehr langsam war, htop und top kaum starten wollten, und ps ewig und drei Tage gebraucht hat. Der Grund: Ein vergeblicher Versuch eines überflüssigen Daemons sich mit einem (nicht erreichbaren) NTP-Server zu synchronisieren. Die CPU-Last (16 CPUs) lag derweil bei <0.01.
_________________
I *do* know that I easily aggravate people due to my condensed writing. Rule of thumb: If I wrote anything that can be understood in two different ways, and one way offends you, then I meant the other! ;)
Back to top
View user's profile Send private message
Finswimmer
Moderator
Moderator


Joined: 02 Sep 2004
Posts: 5382
Location: Langen (Hessen), Germany

PostPosted: Tue Feb 12, 2013 6:21 pm    Post subject: Reply with quote

OK. Sehr schlechte Fehlermeldung von mir.
Bei dem Aufruf aller drei Programme blieb die Shell hängen und es hat sich gefühlt nichts mehr getan.
Auch nach 5min noch nicht. Länger hatte ich keine Geduld und habe den Rechner normal per init 6 neustarten können.

Die Netzwerk-Verbindung per SSH war allerdings normal schnell.
_________________
Bitte auf Rechtschreibung, korrekte Formatierung und Höflichkeit achten!
Danke
Back to top
View user's profile Send private message
Yamakuzure
Veteran
Veteran


Joined: 21 Jun 2006
Posts: 1374
Location: Bardowick, Germany

PostPosted: Thu Feb 14, 2013 1:01 pm    Post subject: Reply with quote

Eine andere Idee, an die ich Vorgestern nicht dachte:

Ich hatte mal das Problem, dass selbst "ls" einfach genau nichts tat. Es ließ sich auch weder mit strg+c, noch von einer anderen Konsole mit kill -9 abwürgen.
Lösung: Jemand hat ein rm -rf auf einen per iSCSI angeschlossenen NAS losgelassen, in einem Verzeichnis mit ca. 150 Mio Dateien (2TB), und das System war permanent am "fsync"en. 'ls' hat schlicht auf das Ende des fsync gewartet, und befand sich dadurch (natürlich) im Modus 'D' (uninterruptible sleep).

Okay, okay, ein fsync-Problem ist bei dir sicherlich weit hergeholt. Aber kannst du dich lokal anmelden? Und wenn "top" per ssh hängt, funktioniert das dann lokal? Dann könnte es ein MTU Problem sein. (http://www.znep.com/~marcs/mtu/)
_________________
I *do* know that I easily aggravate people due to my condensed writing. Rule of thumb: If I wrote anything that can be understood in two different ways, and one way offends you, then I meant the other! ;)
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum