Angriff OMV Server

[Paddy0293]

Hallo Leute ich bekam heute per Mail folgende Meldung :

Sonst ist mein Logfile voll davon:

Er scheint es ja geschafft haben, ins System zu kommen bzw. benutze ich ja das root Passwort nur für Putty und nicht in OMV
Was würdet ihr machen ? Mache mir ein wenig Sorgen um ehrlich zu sein

Viele Grüße

Paddy

 

[kachiri]

Sprichst du hier vom Webinterface von OMV? Da dürfte es auch Logfiles für erfolgreiche Einwahlversuche geben.
Sind halt meist Bots. Wenn du Sorgen hast, überdenke dein Passwort und ändere es ggfs.

 

[AGB-Leser]

Das sieht nach einer internen Adresse aus. Mal alle Geräte geprüft?

 

[PHuV]

Root per ssh von außen verbieten. Nur mit SSH-Zertifikaten arbeiten und in der sshd.config so einstellen.

 

[Paddy0293]

@kachiri genau, hab das Passwort soeben geändert

@PHuV komm ich dann trotzdem via Putty per root drauf ?
Link hab jetzt das auf die schnelle gefunden

@AGB-Leser hab schon gecheckt, kann sein das vielleicht ein anderes System erwischt hat und sich die Person darüber einloggt

 

[It's-a me!]

Man sollte niemals direkt per ssh zu root verbinden. Erstell dir einen anderen Benutzer mit dem du eine ssh Verbindung aufbaust und wechsle dann zum root User wenn es sein muss. Und dann den ssh root login deaktivieren.

Das ist eigentlich der erste Schritt der nach der Installation eines Servers gemacht werden sollte. Vielleicht solltest du dich noch ein wenig mit der Absicherung von Servern beschäftigen bevor demnächst noch Post vom Anwalt kommt.

 

[kachiri]

@PHuV komm ich dann trotzdem via Putty per root drauf ?
Link hab jetzt das auf die schnelle gefunden

Ja, kommst du. Du musst natürlich vorher einen entsprechenden Key hinterlegen, bevor du den SSH-Login ohne Key verbietest

 

[AGB-Leser]

Na Du weißt ja dann am besten, was für ein Gerät das ist, und wie es da mit dem Stand der Sicherheit aussieht.
Denn da oben wird scheinbar kein ssh, sondern ein Browser genommen. Ist da vielleicht noch AutoLogin aktiv?

 

[Paddy0293]

Ich danke euch, vielleicht war es auch meine Freundin, kläre das gleich mal ab
Vielleicht umsonst einen Schreck bekommen, aber wieder was gelernt, das ich root verbieten sollte.
Werde ich jetzt erledigen um auf der sicheren Seite zu sein.

Danke Jungs

 

[snaxilian]

Die Tipps zu SSH sind richtig und wichtig, haben mit der Meldung des TEs aber nix zu tun. Die Logins erfolgen per Browser.
Außerdem ist im Log ersichtlich von WO der Zugriff erfolgte (interne IP). Gerät finden, Browser checken. in 99,5% der Fälle war es ein Autofill/Autologin mit gespeicherten aber alten Credentials.
Nix Hacker, nix Angriff sondern schlicht und ergreifend die eigene Vergesslichkeit und Unachtsamkeit.

 

[Cokocool]

Sonst ist mein Logfile voll davon:

Anhang anzeigen 1057954

Das ist nichts außergewöhnliches.

https://www.linuxquestions.org/ques...g-showing-so-many-root-open-close-4175510484/

https://www.linuxmintusers.de/index.php?topic=7761.0

https://askubuntu.com/questions/465...ng-and-closing-every-hour-in-var-log-auth-log

 

[Paddy0293]

User ist angelegt und Passwort ist gesetzt,
Leider schließt sich PuTTY sofort nach erfolgreichen Login
Was mache ich falsch ?
Hab schon alles mögliche versucht was Google ausspuckt leider ohne Erfolg

 

[Der Lord]

Was sagen PuTTY- und sshd Logs dazu?

 

[Paddy0293]

@Der Lord
Could not chdir to home directory /home/admin: No such file or directory
This account is currently not available.

Hab den User wie folgt erstellt ->
addgroup --system sshusers
adduser admin sshusers

 

[Der Lord]

Auszug aus der manpage:

adduser [Optionen] [--home VERZEICHNIS] [--shell SHELL] [--no-create-home] [--uid ID] [--firstuid ID] [--lastuid ID] [--ingroup GRUPPE | --gid ID] [--disabled-password] [--disabled-login] [--gecos GECOS] [--add_extra_groups] Benutzer

Die Gruppenzugehörigkeit gibst du falsch an.

Ich würde einfach folgendes nutzen:
sudo adduser user1
danach die Gruppe hinzufügen:
sudo usermod -aG sshusers user1

 

[Paddy0293]

@Der Lord super hat geklappt danke dir