Dommel logt in op ssh?

unxplained · 23 maa 2009, 09:55

Ik heb thuis een ssh server draaien dus heb ik dan ook poort 22 geforward naar de betreffende computer. Om het toch wat veilig te houden ( ivm bruteforcing en dergelijken) heb ik denyhosts draaien op de server. Bij 5 mislukte pogingen wordt de het ip-adres geblokkeerd. Nu merk ik in de logfiles dat er exact om het half uur vanaf het adres 193.109.184.66 geconnecteerd wordt (en dan ook geweigerd). Ik tik het adres in in firefox en dan kom ik op het CRM van dommel uit.

Iemand een idee wat ze proberen doen? Ik vermoed dat ze op de ssh-server van de router proberen inloggen maar aangezien ik poort 22 geforward heb komen ze op mijn pc uit. Op zich niet erg maar ik vind persoonlijk wel dat ze niets te zoeken hebben in de router!

rtl · 23 maa 2009, 10:33

elke.schedom-europe.net ? lol

het heeft misschien iets met firmware auto-update te maken of zo

Ofloo · 23 maa 2009, 16:50

Maar mogen ze dan zomaar uw firmware updaten?

icekiller2k6 · 23 maa 2009, 19:39

log je ook welke user & pass waarmee ze proberen in te loggen..? dit zou zeer waardevolle informatie kunnen zijn! kunnen we namelijk zelf in de router geraken en zo de voip pass te weten komen!

Ken · 24 maa 2009, 15:06

icekiller2k6 schreef:log je ook welke user & pass waarmee ze proberen in te loggen..? dit zou zeer waardevolle informatie kunnen zijn! kunnen we namelijk zelf in de router geraken en zo de voip pass te weten komen!

Loggen die handel!

PM me of zet ze hier als je ze hebt éh aub.

unxplained · 24 maa 2009, 15:23

Ik denk niet dat dit zomaar zal lukken. ssh is nog steeds een beveiligde verbinding. Maar goed zal een proberen tcpdumpen en zien wat ik kan vinden.

unxplained · 24 maa 2009, 16:20

Zoals ik dus dacht, er wordt aan authenticatie gedaan aan de hand van keyfiles. Iemand zin om diffie-hellman te kraken?

Ofloo · 24 maa 2009, 17:48

unxplained schreef:Ik denk niet dat dit zomaar zal lukken. ssh is nog steeds een beveiligde verbinding. Maar goed zal een proberen tcpdumpen en zien wat ik kan vinden.

SSH is niet 100% veilig draai maar eens een programma dat sniff heet en ze komen zo tevoorschijn, ik weet niet nu maar enkele jaren geleden was ik wat aan het spelen met security tools, .. en merkte ik dat je ssh paswoorden gewoon kan sniffen ! 'k Was enorm verrast, .. probeer maar eens ik ben er bijna zeker van dat je dit nog steeds kan.

Ken · 24 maa 2009, 23:28

Ofloo schreef:SSH is niet 100% veilig draai maar eens een programma dat sniff heet en ze komen zo tevoorschijn, ik weet niet nu maar enkele jaren geleden was ik wat aan het spelen met security tools, .. en merkte ik dat je ssh paswoorden gewoon kan sniffen ! 'k Was enorm verrast, .. probeer maar eens ik ben er bijna zeker van dat je dit nog steeds kan.

Over SSH 1+ of vroeger misschien maar SSH 2 helemaal niet zenne

DoubleD · 25 maa 2009, 11:38

alles is kraakbaar

GuntherDW · 25 maa 2009, 14:51

maar met de huidige methodes zal het toch een dik aantal jaren duren

DoubleD · 25 maa 2009, 17:18

of da da nu sebiet is of da da over 20 jaar is.. kraakbaar = kraakbaar

Ofloo · 25 maa 2009, 20:20

Ken schreef:
Ofloo schreef:SSH is niet 100% veilig draai maar eens een programma dat sniff heet en ze komen zo tevoorschijn, ik weet niet nu maar enkele jaren geleden was ik wat aan het spelen met security tools, .. en merkte ik dat je ssh paswoorden gewoon kan sniffen ! 'k Was enorm verrast, .. probeer maar eens ik ben er bijna zeker van dat je dit nog steeds kan.
Over SSH 1+ of vroeger misschien maar SSH 2 helemaal niet zenne

Dat lees je toch immers rechtstreeks van memory, zeker als je root hebt fixeer u niet op het protocol, op een gegeven moment wordt de data toch gedecrypteerd, .. of denk je dat je dat niet kan uitlezen, .. denk je nu echt als je ssh2 gebruikt en iemand zit root op jouw systeem dat hij uw paswoorden niet kan zien?

DoubleD schreef:of da da nu sebiet is of da da over 20 jaar is.. kraakbaar = kraakbaar

ge moet niks kraken, gewoon een programma downloaden dat weet waar het staat.

AndrewB · 25 maa 2009, 23:31

Dommel heeft een script runnen die om het half uur in iedere router gaat kijken of de ADSL/VoIP nog steeds in orde zijn. Indien niet worden ze er weer in gepushed

Ken · 26 maa 2009, 01:19

Ofloo schreef:ge moet niks kraken, gewoon een programma downloaden dat weet waar het staat.

Ja, ok, ik praat wel over een sniffing app die je op het netwerk draait, maar niet op de server zelf waar er verbinding word op gemaakt.

Ofloo · 26 maa 2009, 16:45

Ken schreef:
Ofloo schreef:ge moet niks kraken, gewoon een programma downloaden dat weet waar het staat.
Ja, ok, ik praat wel over een sniffing app die je op het netwerk draait, maar niet op de server zelf waar er verbinding word op gemaakt.

Forward gewoon ssh poort op je router naar een linux computer in je netwerk en kijk wat ze doen. 'k geloof dat je zelfs met netcat sshd kan simuleren, wel eens waar één met crypt support, dat durf ik niet met zekerheid te zeggen maar er moet allicht een manier zijn. 'k geloof dat het cryptcat heet of zoiets in die aard, 'k kan me vergissen want het is al heel lang geleden dat ik me nog met zulk soort zaken bezig gehouden heb.

unxplained · 27 maa 2009, 14:10

Het noemt inderdaad cryptcat

Het was dus inderdaad om de voip settings in orde te brengen. Ze wilden blijkbaar de nieuwe lijn activeren.