www-data ständig SSH Login / Versuche?

evarioo · Post by **evarioo** » Tue 12. Dec 2023, 11:04

Hallo Keyhelp Gemeinde,
liebes Keyhelp Team,

zu allererst möchte ich allen die daran beteiligt sind meinen Dank für solch eine Software wie Keyhelp aussprechen. Es erleichtert mir ungemein die Arbeit und ist obendrein auch noch kostenlos! Ihr macht da einen super Job.

Ich habe allerdings ein Anliegen welches mich momentan nachts nicht mehr schlafen lässt. Wie es sich für einen vernünftigen Server Admin gehört bin ich natürlich ständig um die Sicherheit meiner Serverfarm besorgt und Versuche auch alles was möglich ist um ungebetene Gäste außerhalb meiner System zu halten. Dazu gehören

Verschieben des SSH Ports
SSH Login nur mit Keys + Phassprase
Sichere Passwörter (32+ Stellen inklusive Sonderzeichen trotz Key)
SSH Login Mitteilungen per Telegram
SUDO User
Deaktivierter root User Login

Das Problem hierbei ist, ich bekomme ständig Login Versuche des Users www-data gemeldet die anscheinend erfolglos waren. Was mich verwundert ist da www-data gar keinen Key hat und auch nicht als AllowUsers in der sshd_config eingetragen ist. Was genau kann ich noch tun das dieser User nicht missbraucht werden kann? Ist das ein Login den Keyhelp unbedingt braucht?

Bitte helft mir dass ich wieder ruhige Nächte habe

Liebe Grüße und für jeden Rat dankbar
Alexander

Post by **Jolinar** » Tue 12. Dec 2023, 11:12

Magst du uns mal Auszüge aus deinen Logfiles über die erfolglosen Loginversuche zur Verfügung stellen?

Post by **Florian** » Tue 12. Dec 2023, 11:23

Hallo,

es ist völlig normal, dass die SSH Server abgeklopft werden nach Loginmöglichkeiten. Normalerweise hilft da schonmal Fail2ban

Der User www-data kann sich aber gar nicht einloggen standardmäßig, denn er hat kein entsprechende Shell.

Daher schau mal wie von Jolinar vorgeschlagen ins auth.log was da wirklich passiert.

evarioo · Post by **evarioo** » Tue 12. Dec 2023, 13:07

Danke für eure Antworten. Bin im Moment unterwegs und würde dann im Anschluss meine Logs durchforsten und hier bereit stellen.

Liebe Grüße
Alexander

evarioo · Post by **evarioo** » Tue 12. Dec 2023, 14:49

Hallöchen,

leider kann ich den oberen Post aus mir unbekannten Gründen nicht mehr bearbeiten. Ich hoffe das gilt als Ausrede für den Doppelpost.

https://prnt.sc/ZOdkab2B5izO

Mittlerweile konnte ich die betreffenden Logfile finden, sichten und stelle sie euch nun hier bereit. Es muss etwas geben .. softwareseitig was mich wieder ruhig schlafen lässt. Was könnt ihr mir empfehlen was ihr habt aber ich brauche? Ich probiere alles aus

Logs:

Code: Select all

Dec 09 21:55:26 ********* sshd[554318]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=85.209.11.44  user=www-data
Dec 09 21:55:28 ********* sshd[554318]: Failed password for www-data from 85.209.11.44 port 54499 ssh2
Dec 09 21:55:29 ********* sshd[554318]: Disconnected from authenticating user www-data 85.209.11.44 port 54499 [preauth]
Dec 09 23:08:37 ********* sshd[560806]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=143.198.224.76  user=www-data
Dec 09 23:08:39 ********* sshd[560806]: Failed password for www-data from 143.198.224.76 port 40372 ssh2
Dec 09 23:08:40 ********* sshd[560806]: Disconnected from authenticating user www-data 143.198.224.76 port 40372 [preauth]
Dec 11 15:55:05 ********* sshd[5788]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=137.184.5.137  user=www-data
Dec 11 15:55:07 ********* sshd[5788]: Failed password for www-data from 137.184.5.137 port 36684 ssh2
Dec 11 15:55:08 ********* sshd[5788]: Disconnected from authenticating user www-data 137.184.5.137 port 36684 [preauth]
Dec 11 15:57:58 ********* sshd[6043]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=201.148.20.53  user=www-data
Dec 11 15:58:00 ********* sshd[6043]: Failed password for www-data from 201.148.20.53 port 47782 ssh2
Dec 12 12:29:07 *********  sshd[62059]: Disconnected from authenticating user www-data 154.209.4.95 port 44016 [preauth]

Ralph · Post by **Ralph** » Tue 12. Dec 2023, 16:52

evarioo wrote: ↑Tue 12. Dec 2023, 14:49 Mittlerweile konnte ich die betreffenden Logfile finden, sichten und stelle sie euch nun hier bereit. Es muss etwas geben .. softwareseitig was mich wieder ruhig schlafen lässt. Was könnt ihr mir empfehlen was ihr habt aber ich brauche? Ich probiere alles aus

Diese IPs sollten bereits via Fail2ban geblockt werden und in den F2B Logs zu finden sein, falls nicht kannst Du die maxretry mal auf 1 setzen, wenn Du keine Probleme hast fehlerfrei einzuloggen:

Code: Select all

nano /etc/fail2ban/jail.d/keyhelp.local
[sshd]
maxretry = 1
bantime = 1h

service fail2ban restart
tail -n 500 /var/log/fail2ban.log

In dem Fall würde ich zusätzlich noch einen extra Filter erstellen der alle externen Login Versuche mit user www-data blockiert, ebenfalls maxretry = 1 und dann den Standard [sshd] eventl. wieder auf 2-3 maxretry setzen (falls SSH Kunden im Spiel sind).

evarioo · Post by **evarioo** » Tue 12. Dec 2023, 18:17

Hey,

laut Keyhelp fail2ban Verwaltung wurde nichts geblockt und auf fail2ban client zeigt keine gesperrten IP´s an .. oh mann jetzt mache ich mir noch mehr sorgen und frage ob fail2ban überhaupt funzt ..

lg

Ralph · Post by **Ralph** » Tue 12. Dec 2023, 18:58

evarioo wrote: ↑Tue 12. Dec 2023, 18:17 Hey,
laut Keyhelp fail2ban Verwaltung wurde nichts geblockt und auf fail2ban client zeigt keine gesperrten IP´s an .. oh mann jetzt mache ich mir noch mehr sorgen und frage ob fail2ban überhaupt funzt ..
lg

Für F2B SSH Actions verwendet man am besten banaction auf alle Ports (falls dies nicht bereits der Fall sein sollte) in dem Auszug des Logs sehe ich auf Anhieb keine Wiederholungen, deshalb maxretry = 1 setzen, sonst wird da nichts zu finden sein unter den Ban Action Logs.
Wie gesagt bei dieser seltsamen Attacke würde ich einen Extra Filter verwenden der auch den speziellen Username blockt ... sieht für mich irgendwie nach einer Art Ablenkungs-Aktion aus, behalte auch mal andere Service Logs im Auge ...

Auch mal einen Blick in die /var/log/fail2ban.log werfen ob Fehler angezeigt werden und ob überhaupt etwas geblockt wird ...

evarioo · Post by **evarioo** » Fri 15. Dec 2023, 16:10

Heyho und danke für die Antworten. Ich konnte bisher keinen Zugang feststellen trotz dessen kommen der komische Login per SSH des Users www-data immer noch. Jeden Morgen 6:24 Uhr .. immer. Jeden Tag. Ich kann einfach nichts ungewöhnliches bis auf diesen Versuch feststellen. Habe mich fast schon damit abgefunden wenn ich nicht von Haus aus so neugierig wäre und einfach gerne den Grund dafür wüsste.

Das kuriose ich auch das ich zu dem Login und den Logs sonst NICHTS habe .. nichtmal eine IP ... selbst die Nachricht per Telegram ist sehr kryptisch. Die regulären Nachrichten sehen nicht so aus. Habe ich eventuell ei Fehler in dem Script was die Logins checkt?

Liebe Grüße

www-data ständig SSH Login / Versuche?

www-data ständig SSH Login / Versuche?

Re: www-data ständig SSH Login / Versuche?

Re: www-data ständig SSH Login / Versuche?

Re: www-data ständig SSH Login / Versuche?

Re: www-data ständig SSH Login / Versuche?

Re: www-data ständig SSH Login / Versuche?

Re: www-data ständig SSH Login / Versuche?

Re: www-data ständig SSH Login / Versuche?

Re: www-data ständig SSH Login / Versuche?