robertroth: eigenartige Häufung von unberechtigten Zugriffen

Liebe Mitdenker, liebe Wissende, liebe Neugierige,

in unserem drei Server auth.log-Dateien (unterschiedliche Hoster) sammeln sich seit Tagen heftig viele Zugriffsversuche von Usern

  • pi
  • ubnt

über das ganze IP-Spektrum verteilt, allerdings immer ein oder zwei Zugriffe pro IP in 10 Minuten. Fail2ban ist installiert und hat fast keine Kandidaten mehr.

Bei zwei befreundeten Firmen ist das auch so. Auch die "User" pi und ubnt.

Was läuft da? Sieht aus wie eine Art DDoS auf Sparflamme. Die IPs kommen alle aus verschiedenen Netzen. Sollte man das BSI darüber informieren?

Könnt Ihr bitte mal in eure auth.log reinschauen, ob da was ähnliches auftaucht?

Spirituelle Grüße
Euer Robert
robert.r@online.de

--
Möge der wahre Forumsgeist ewig leben!
  1. Moin!

    • pi
    • ubnt

    Google sagt:

    "ubnt" ist mit dem Passwort "ubnt" ein Standard-Benutzer auf einer WLAN-Box der Firma UBNT.

    Mit "pi" wird es ähnlich sein.

    über das ganze IP-Spektrum verteilt, allerdings immer ein oder zwei Zugriffe pro IP in 10 Minuten.

    Das sind Skript-Kiddies die das Netz scannen. Scheinbar steht mal wieder was in einem "1337" oder "Elite"-Forum und jeder der in solchen Foren aktiven Idioten wirft jetzt Skripte an, die unterschieds- und ziellos einfach jede IP danach scannen.

    Fazit:

    Grundrauschen.

    Nachricht der Geschäftsführung:

    Schauen ob ein Gerät oder Server betroffen sein könnte.

    Jörg Reinholz

    1. Moin!

      • pi
      • ubnt

      Google sagt:

      "ubnt" ist mit dem Passwort "ubnt" ein Standard-Benutzer auf einer WLAN-Box der Firma UBNT.

      Vermutung war:

      Mit "pi" wird es ähnlich sein.

      Die Vermutung stimmt.

      Jörg Reinholz

      1. Liebe Mitdenker, liebe Wissende, liebe Neugierige,

        Moin!

        • pi
        • ubnt

        Google sagt:

        "ubnt" ist mit dem Passwort "ubnt" ein Standard-Benutzer auf einer WLAN-Box der Firma UBNT.

        Vermutung war:

        Mit "pi" wird es ähnlich sein.

        Die Vermutung stimmt.

        Danke.

        Ich muss jetzt erstmal "Aufguss" machen in meiner Ökosauna ;-O

        Spirituelle Grüße
        Euer Robert
        robert.r@online.de

        --
        Möge der wahre Forumsgeist ewig leben!
    2. Liebe Mitdenker, liebe Wissende, liebe Neugierige,

      • pi
      • ubnt

      Google sagt:

      "ubnt" ist mit dem Passwort "ubnt" ein Standard-Benutzer auf einer WLAN-Box der Firma UBNT.

      Mit "pi" wird es ähnlich sein.

      über das ganze IP-Spektrum verteilt, allerdings immer ein oder zwei Zugriffe pro IP in 10 Minuten.

      Das sind Skript-Kiddies die das Netz scannen. Scheinbar steht mal wieder was in einem "1337" oder "Elite"-Forum und jeder der in solchen Foren aktiven Idioten wirft jetzt Skripte an, die unterschieds- und ziellos einfach jede IP danach scannen.

      Fazit:

      Grundrauschen.

      Solange die bei den nicht existenten Usernamen bleiben, und das keine koordinierte Aktion ist, sehe ich da auch kein Problem.

      Nachricht der Geschäftsführung:

      Schauen ob ein Gerät oder Server betroffen sein könnte.

      Bisher wohl nicht.
      Nur etwas eigenartig, dass zur gleichen Zeit auf allen drei Hosts die fail2ban-Kandidaten ausbleiben.

      Manchmal steckt die eigentliche Botschaft ja in der ausgebliebenen.

      Spirituelle Grüße
      Euer Robert
      robert.r@online.de

      --
      Möge der wahre Forumsgeist ewig leben!