Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 2147 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSH Server Log Attack

Waterboy550_01
I have recently taken over the monitoring of 7 Astaro Firewalls.  Everything has been going smooth until today when I was notified about some failed SSH log-ins.  I believe after looking at the log files that I was under a brute force attack.  Here is the log file contents, should I be alarmed about this or are there any steps that I should take?

2009:07:20-04:31:50 sietsema-tru-fw-all sshd[28077]: Invalid user cdr from 60.217.229.226
2009:07:20-04:31:50 sietsema-tru-fw-all sshd[28077]: error: Could not get shadow information for NOUSER
2009:07:20-04:31:50 sietsema-tru-fw-all sshd[28077]: Failed password for invalid user cdr from 60.217.229.226 port 51793 ssh2
2009:07:20-04:31:52 sietsema-tru-fw-all sshd[28081]: Invalid user msheng from 60.217.229.226
2009:07:20-04:31:52 sietsema-tru-fw-all sshd[28081]: error: Could not get shadow information for NOUSER
2009:07:20-04:31:52 sietsema-tru-fw-all sshd[28081]: Failed password for invalid user msheng from 60.217.229.226 port 52198 ssh2
2009:07:20-04:31:55 sietsema-tru-fw-all sshd[28085]: Invalid user cdr from 60.217.229.226
2009:07:20-04:31:55 sietsema-tru-fw-all sshd[28085]: error: Could not get shadow information for NOUSER
2009:07:20-04:31:55 sietsema-tru-fw-all sshd[28085]: Failed password for invalid user cdr from 60.217.229.226 port 52480 ssh2
2009:07:20-04:31:58 sietsema-tru-fw-all sshd[28089]: Invalid user cdr from 60.217.229.226
2009:07:20-04:31:58 sietsema-tru-fw-all sshd[28089]: error: Could not get shadow information for NOUSER
2009:07:20-04:31:58 sietsema-tru-fw-all sshd[28089]: Failed password for invalid user cdr from 60.217.229.226 port 52751 ssh2
2009:07:20-04:32:00 sietsema-tru-fw-all sshd[28093]: Failed password for root from 60.217.229.226 port 53043 ssh2
2009:07:20-04:32:03 sietsema-tru-fw-all sshd[28117]: Failed password for root from 60.217.229.226 port 53322 ssh2
2009:07:20-04:32:05 sietsema-tru-fw-all sshd[28135]: Failed password for root from 60.217.229.226 port 53553 ssh2
2009:07:20-04:32:08 sietsema-tru-fw-all sshd[28144]: Failed password for root from 60.217.229.226 port 53775 ssh2
2009:07:20-04:32:10 sietsema-tru-fw-all sshd[28147]: Failed password for root from 60.217.229.226 port 54041 ssh2
2009:07:20-04:32:13 sietsema-tru-fw-all sshd[28151]: Failed password for root from 60.217.229.226 port 54240 ssh2
2009:07:20-04:32:15 sietsema-tru-fw-all sshd[28154]: Failed password for root from 60.217.229.226 port 54504 ssh2
2009:07:20-04:32:17 sietsema-tru-fw-all sshd[28157]: Failed password for root from 60.217.229.226 port 54778 ssh2
2009:07:20-04:32:20 sietsema-tru-fw-all sshd[28160]: Failed password for root from 60.217.229.226 port 54975 ssh2
2009:07:20-04:32:22 sietsema-tru-fw-all sshd[28164]: Failed password for root from 60.217.229.226 port 55212 ssh2
2009:07:20-04:32:25 sietsema-tru-fw-all sshd[28167]: Failed password for root from 60.217.229.226 port 55462 ssh2
2009:07:20-04:32:27 sietsema-tru-fw-all sshd[28170]: Failed password for root from 60.217.229.226 port 55669 ssh2
2009:07:20-04:32:30 sietsema-tru-fw-all sshd[28173]: Failed password for root from 60.217.229.226 port 55931 ssh2
2009:07:20-04:32:32 sietsema-tru-fw-all sshd[28177]: Failed password for root from 60.217.229.226 port 56172 ssh2
2009:07:20-04:32:35 sietsema-tru-fw-all sshd[28180]: Failed password for root from 60.217.229.226 port 56359 ssh2
2009:07:20-04:32:37 sietsema-tru-fw-all sshd[28183]: Failed password for root from 60.217.229.226 port 56613 ssh2
2009:07:20-04:32:40 sietsema-tru-fw-all sshd[28186]: Failed password for root from 60.217.229.226 port 56854 ssh2
2009:07:20-04:32:42 sietsema-tru-fw-all sshd[28189]: Failed password for root from 60.217.229.226 port 57050 ssh2
2009:07:20-04:32:45 sietsema-tru-fw-all sshd[28192]: Failed password for root from 60.217.229.226 port 57317 ssh2
2009:07:20-04:32:47 sietsema-tru-fw-all sshd[28195]: Failed password for root from 60.217.229.226 port 57480 ssh2
2009:07:20-04:32:50 sietsema-tru-fw-all sshd[28199]: Failed password for root from 60.217.229.226 port 57750 ssh2
2009:07:20-04:32:52 sietsema-tru-fw-all sshd[28202]: Failed password for root from 60.217.229.226 port 58020 ssh2
2009:07:20-04:32:55 sietsema-tru-fw-all sshd[28205]: Failed password for root from 60.217.229.226 port 58182 ssh2
2009:07:20-04:32:57 sietsema-tru-fw-all sshd[28208]: Failed password for root from 60.217.229.226 port 58436 ssh2
2009:07:20-04:33:00 sietsema-tru-fw-all sshd[28211]: Failed password for root from 60.217.229.226 port 58666 ssh2
2009:07:20-04:33:02 sietsema-tru-fw-all sshd[28214]: Failed password for root from 60.217.229.226 port 58877 ssh2
2009:07:20-04:33:05 sietsema-tru-fw-all sshd[28218]: Failed password for root from 60.217.229.226 port 59134 ssh2
2009:07:20-04:33:07 sietsema-tru-fw-all sshd[28221]: Failed password for root from 60.217.229.226 port 59345 ssh2
2009:07:20-04:33:09 sietsema-tru-fw-all sshd[28224]: Failed password for root from 60.217.229.226 port 59540 ssh2
2009:07:20-04:33:12 sietsema-tru-fw-all sshd[28228]: Failed password for root from 60.217.229.226 port 59801 ssh2
2009:07:20-04:33:14 sietsema-tru-fw-all sshd[28231]: Failed password for root from 60.217.229.226 port 60028 ssh2
2009:07:20-04:33:17 sietsema-tru-fw-all sshd[28234]: Failed password for root from 60.217.229.226 port 60221 ssh2
2009:07:20-04:33:19 sietsema-tru-fw-all sshd[28237]: Failed password for root from 60.217.229.226 port 60470 ssh2
2009:07:20-04:33:22 sietsema-tru-fw-all sshd[28241]: Failed password for root from 60.217.229.226 port 60647 ssh2
2009:07:20-04:33:24 sietsema-tru-fw-all sshd[28244]: Failed password for root from 60.217.229.226 port 60877 ssh2
2009:07:20-04:33:27 sietsema-tru-fw-all sshd[28247]: Failed password for root from 60.217.229.226 port 32919 ssh2
2009:07:20-04:33:29 sietsema-tru-fw-all sshd[28250]: Failed password for root from 60.217.229.226 port 33081 ssh2
2009:07:20-04:33:32 sietsema-tru-fw-all sshd[28254]: Failed password for root from 60.217.229.226 port 41161 ssh2
2009:07:20-04:33:34 sietsema-tru-fw-all sshd[28257]: Failed password for root from 60.217.229.226 port 41377 ssh2
2009:07:20-04:33:37 sietsema-tru-fw-all sshd[28260]: Failed password for root from 60.217.229.226 port 41585 ssh2
2009:07:20-04:33:39 sietsema-tru-fw-all sshd[28263]: Failed password for root from 60.217.229.226 port 41823 ssh2
2009:07:20-04:33:42 sietsema-tru-fw-all sshd[28266]: Failed password for root from 60.217.229.226 port 42034 ssh2
2009:07:20-04:33:44 sietsema-tru-fw-all sshd[28269]: Failed password for root from 60.217.229.226 port 42221 ssh2
2009:07:20-04:33:47 sietsema-tru-fw-all sshd[28272]: Failed password for root from 60.217.229.226 port 42461 ssh2
2009:07:20-04:33:49 sietsema-tru-fw-all sshd[28276]: Failed password for root from 60.217.229.226 port 42716 ssh2
2009:07:20-04:33:52 sietsema-tru-fw-all sshd[28279]: Failed password for root from 60.217.229.226 port 42871 ssh2
2009:07:20-04:33:54 sietsema-tru-fw-all sshd[28282]: Failed password for root from 60.217.229.226 port 43124 ssh2
2009:07:20-04:33:57 sietsema-tru-fw-all sshd[28290]: Failed password for root from 60.217.229.226 port 43350 ssh2
2009:07:20-04:34:00 sietsema-tru-fw-all sshd[28293]: Failed password for root from 60.217.229.226 port 43576 ssh2
2009:07:20-04:34:02 sietsema-tru-fw-all sshd[28296]: Failed password for root from 60.217.229.226 port 43833 ssh2
2009:07:20-04:34:04 sietsema-tru-fw-all sshd[28300]: Failed password for root from 60.217.229.226 port 44022 ssh2
2009:07:20-04:34:07 sietsema-tru-fw-all sshd[28303]: Failed password for root from 60.217.229.226 port 44231 ssh2
2009:07:20-04:34:09 sietsema-tru-fw-all sshd[28306]: Failed password for root from 60.217.229.226 port 44471 ssh2
2009:07:20-13:11:36 sietsema-tru-fw-all sshd[3433]: Did not receive identification string from 193.183.46.253
2009:07:20-13:22:15 sietsema-tru-fw-all sshd[3586]: Failed password for root from 193.183.46.253 port 38988 ssh2
2009:07:20-13:22:16 sietsema-tru-fw-all sshd[3591]: Invalid user simoni from 193.183.46.253
2009:07:20-13:22:16 sietsema-tru-fw-all sshd[3591]: error: Could not get shadow information for NOUSER
2009:07:20-13:22:16 sietsema-tru-fw-all sshd[3591]: Failed password for invalid user simoni from 193.183.46.253 port 39088 ssh2
2009:07:20-13:22:18 sietsema-tru-fw-all sshd[3595]: Invalid user dilli from 193.183.46.253
2009:07:20-13:22:18 sietsema-tru-fw-all sshd[3595]: error: Could not get shadow information for NOUSER
2009:07:20-13:22:18 sietsema-tru-fw-all sshd[3595]: Failed password for invalid user dilli from 193.183.46.253 port 39215 ssh2
2009:07:20-13:22:19 sietsema-tru-fw-all sshd[3599]: Failed password for root from 193.183.46.253 port 39304 ssh2
2009:07:20-13:22:21 sietsema-tru-fw-all sshd[3603]: Invalid user ale from 193.183.46.253
2009:07:20-13:22:21 sietsema-tru-fw-all sshd[3603]: error: Could not get shadow information for NOUSER
2009:07:20-13:22:21 sietsema-tru-fw-all sshd[3603]: Failed password for invalid user ale from 193.183.46.253 port 39422 ssh2
2009:07:20-13:22:22 sietsema-tru-fw-all sshd[3623]: Invalid user cead from 193.183.46.253
2009:07:20-13:22:22 sietsema-tru-fw-all sshd[3623]: error: Could not get shadow information for NOUSER
2009:07:20-13:22:22 sietsema-tru-fw-all sshd[3623]: Failed password for invalid user cead from 193.183.46.253 port 39555 ssh2
2009:07:20-13:22:23 sietsema-tru-fw-all sshd[3630]: Failed password for root from 193.183.46.253 port 39706 ssh2
2009:07:20-13:22:25 sietsema-tru-fw-all sshd[3637]: Failed password for root from 193.183.46.253 port 39834 ssh2
2009:07:20-13:22:26 sietsema-tru-fw-all sshd[3640]: Failed password for root from 193.183.46.253 port 39953 ssh2
2009:07:20-13:22:28 sietsema-tru-fw-all sshd[3643]: Invalid user mythtv from 193.183.46.253
2009:07:20-13:22:28 sietsema-tru-fw-all sshd[3643]: error: Could not get shadow information for NOUSER


This thread was automatically locked due to age.
Parents Reply
  • 0 in reply to BrucekConvergent
    Thanks for the quick replies.  I changed some of the settings to now only allow internal IP address to access SSH.  I will contact the old IT worker to see if there was a reason to allow any external connection access to this.  My guess is that it was a mistake.  Thanks again.
Children
No Data