[Eisfair] /etc/ssh/primes und Bad packet length
Marcus Roeckrath
marcus.roeckrath at gmx.de
Fr Dez 4 23:05:37 CET 2015
Hallo Olaf,
Olaf Jaehrling wrote:
> Ich habe heute folgendes bei mir im Log gesehen:
> Dec 4 20:31:54 server sshd[26129]: WARNING: no suitable primes in
> /etc/ssh/primes
> Dec 4 20:31:55 server sshd[26129]: Received disconnect from
> 171.25.193.78: 11: Connection terminated by the client.
>
> Stutzig macht mich der Eintrag mit den primes. Diese Datei gibt es bei
> mir ja nicht. Dass da jemand versucht hat auf die Maschine zu kommen ist
> mir klar, aber was hat es mit den primes zu tun?
Bei meinen Systemen gibts die auch nicht.
> Nebenbei ist mir aufgefallen das folgende Einträge im Log zu finden sind:
> Dec 4 11:10:10 server sshd[5455]: Bad packet length 1921169320.
> Dec 4 11:10:16 server sshd[5522]: Bad packet length 169795162.
> Dec 4 11:10:17 server sshd[5533]: Bad packet length 3381552719.
> Dec 4 11:10:18 server sshd[5544]: Bad packet length 2982834481.
> Dec 4 11:10:20 server sshd[6200]: Bad packet length 4129434396.
> Dec 4 11:10:25 server sshd[6221]: Bad packet length 4239863244.
Versucht da jemand einen Einbruch per Buffer overflow?
> Kurze Zeit später friert der EIS ein. Lt Google sind das Versuche ein
> rootkit auf den Server zu kriegen. Das hat zumindest nicht geklappt.
Wenn das ein Buffer overflow war, hats statt eines eerfolgreichen Zugrifss
halt einen Crash gegeben.
Für Zugriffe von außen benutze ich einen anderen als den Standrad-ssh-Port
(Portforwarding im Router auf 22).
--
Gruss Marcus
Mehr Informationen über die Mailingliste Eisfair