Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 3 subscribers
  • Views 4316 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

dos via ssh shell access

crash893
Hi all,

I was playing around with shellaccess via ssh


1) i put in a strong password 12 char password but i left ssh on port 22 and now it apears that there is a hacker love fest trying break into my asg

2) I can no longer access the web interface (i suspect that its because of the timeout)


3) i never set a root password so does that mean root can not be accessed via shell?

4) is there a way from userlogin to get to anything that i should worry about

My intention is not to leave this open but im not in the physical area so Im not sure if i should tell the office users to pull the plug or wait it out till i can show up tomorrow




https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/21585


This thread was automatically locked due to age.
Parents
  • 0
    I gave this a try and it promts me for a password when i do su- 

    It is asking you to provide a password, if you haven't set it through WebAdmin, then you're effectively locked out.

    Is it normal for a ssh flood to kick the web interface offline that seems like a bit of a vulrablity (that you cant get in there and block/turn off the attack port)
    More than likely this is a DDoS, where you are being hammered by connection attempts from many systems at once.  It is taking system resources to scan the traffic, decide that it is bad, and block it, overloading your system.  The traffic is already there and the Astaro is using all of the system resources to block the it.  This is what makes it impossible to remediate a large enough DDoS attack from the target system itself.   If you have business class internet at this location, contact the NOC of your ISP and they may be able to block the attack further up stream.
  • 0 in reply to Scott_Klassen
    thanks for the reply however all the users never lost internet access the entire time

    they were completely unaware this was going on at all. the only thing affected was my ablility to log into the web interface (error 503) and getting blasted with "warn-006" emails


    once i unpluged the wan and waited a few min i was able to logon to the web interface disable the shell access and jump back on the wan so far so good


    where in  the logs would unsucesful ssh atempts be stored (i notice in the email it gave the login name attempted and the ip address i would love to see any other info)
Reply
  • 0 in reply to Scott_Klassen
    thanks for the reply however all the users never lost internet access the entire time

    they were completely unaware this was going on at all. the only thing affected was my ablility to log into the web interface (error 503) and getting blasted with "warn-006" emails


    once i unpluged the wan and waited a few min i was able to logon to the web interface disable the shell access and jump back on the wan so far so good


    where in  the logs would unsucesful ssh atempts be stored (i notice in the email it gave the login name attempted and the ip address i would love to see any other info)
Children
No Data