Angriff auf SSHD: Invalid user D-Link

Achtung! Dieser Artikel ist älter als ein Jahr. Der Inhalt ist möglicherweise nicht mehr aktuell!

Zwischen 08. und 09.12.2014 ist etwas sehr komisches passiert. Dutzende verschiedenen IP-Adressen haben versucht sich mit SSH auf meinen Server aufzuschalten. Zwar werden jeden Tag 10-20 IP-Adressen gebannt. An diesem besagten Tag waren es aber 225.

Das ungewöhnliche und deswegen Wert genauer nachzuforschen ist, dass das Angriffsszenario immer das selbe war. Hier ein Auszug aus der auth.log von der IP 82.165.154.23 (1und1 Internet AG):

Dec 10 01:30:54 mineralwasser sshd[7691]: Invalid user ftpuser from 82.165.154.23
Dec 10 01:30:55 mineralwasser sshd[7693]: Invalid user admin from 82.165.154.23
Dec 10 01:30:55 mineralwasser sshd[7695]: Invalid user D-Link from 82.165.154.23

Nach diesen drei Versuchen schlägt dann fail2ban zu und setzte einen REJECT-Eintrag in meinen iptables. Der Bot bricht aber nach 3 Versuchen von sich aus ab.

Komisch daran ist, dass jede IP-Adressen nur ein einziges mal einen Angriff gestartet haben. Zusätzlich interessant und Erwähnenswert ist, dass mein Kollege ein bisschen Zeitversetzt von den selben IP-Adressen angegriffen wurden.

Beim recherchieren im Internet bin ich auch auf diesen Blogeintrag gestoßen. Die Überschrift lautet „Botnetzangriff auf Hetzner“. Interessant, da ich erst vor kurzem zu einem anderen Provider gewechselt bin. Allerdings widerspricht sich das auch, da mein Kollege nicht bei Hetzner ist und auch noch nie war.

Zusätzlich stelle ich mir die Frage, war der User D-Link darin zu suchen hat. Ich bringe D-Link eigentlich mit einem Router in Verbindung. Klafft da eventuell eine Lücke?

Mehr habe ich dazu leider noch nicht gefunden. Alle Logeinträge habe ich via Script geordnet und pro IP-Adresse ein Textfile angelegt. Bei Interesse kann man es sich herunterladen und ansehen: dlink_attack

Update 12.12.2014

Mittlerweile habe ich noch mehr Blogeinträge gefunden, die das selbe erlebt haben:

Mittlerweile habe ich schon viele Abuse-Meldungen verschickt. Zumindest an die, die ich für Sinnvoll halte. Darunter sind zum Beispiel 1und1, Telekom, Hetzner, Server4yo usw.


Du hast einen Kommentar, einen Wunsch oder eine Verbeserung? Schreib mir doch eine E-Mail! Die Infos dazu stehen hier.

🖇️ = Link zu anderer Webseite
🔐 = Webseite nutzt HTTPS (verschlüsselter Transportweg)
Zurück