VPN HACK ???

Obviously it's time to change your PPTP passwords.

Which user was it?
If the remote client is not secured, this would do it
(that's why hardware token authentication is a much better way to go...).

the strange thing is that it was no known user, it appears that someone connects gets a ipnumber and then tries to do some administrator hacks on port 139. There are only 2 users who have access to the PPTP connection (admin and myself)
Also there are no logs which indicate that one of the two usernames are used. see my zip file posted in the first post.

Also the report i got from ids is as followes:

[1:2403:0] D NETBIOS SMB Session Setup AndX request unicode username overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1]:  {PROTO006} 10.100.125.2:3205 -> 10.100.100.3:139

[ QUOTE ]
Hi all, 

Today i discovered a possible hack attempt in my VPN connection.
I use the lastest version of astaro 5 (version 5.1)
As i do not exactly get what happened i will try to share it with you and maybe someone can help me with this ?

First i got an email (from ids) that there was a dictionary attack on mij server. The strange thing was that the attack was from my internal ip-numbers used bij the PPTP range !

After looking at the log files of the pptp i discovered that someone did have a connection for at least 9.5 minutes !!   

I will attach the log file maybe that someone has a explanation about this ??

a little part of the log file mentions: pppd-pptp[898]: Plugin /usr/sbin/aua.so loaded --> this worries me most

Thanx 

[/ QUOTE ]

aua.so is part of the Astaro User Authentication package I believe...

So if i understand correctly the astaro only loads some plugins when someone tries to connect to the PPTP-port ? [:S]
Do the plugins stay loaded in the system or are they loaded everytime after someone connects ?

Hi there all, 
to share some light into the darkness.

AUA is not something evil, but our internal "Astaro User Authentication" Service.

What happens is the following:
The PPTP server listens on TCP port 1701.
Than IP 194.151.117.165 tried to connect:
this ip is listed:
inetnum:      194.151.116.0 - 194.151.117.255
netname:      BUSPAM
descr:        KPN Telecom BV
country:      NL

Once the IP  gets connected pptpd starts a PPPd process to do the authentication and handle the connection.
During startup the pppd it initilizes either aua.so  (local authentication) or radius.so (radius authentication).
JEs this plugin gets loaded during every startup of the pppd process.
after a successfull authentication, which you can analyze in /var/log/aua.log i think, 
it sets up the final connection parameters and assigns the internal IP 10.100.125.2.

Than for an unknown reason four keep-alive packets did not get responded on, 
which tells the server that this connection is no longer alive and disconnects it.

I hope this helps, 
best regards
Gert

"" it sets up the final connection parameters and assigns the internal IP 10.100.125.2 ""

So this means that someone either guessed my own password or the admin password ? Otherwise he wouldn't come this far ?

If thats the case then a simple password change would be sufficient enough. Can i see in some other logs who connected succesfull because i cannot find it in the log-file i attached.

Thanx


---edited--- Oops sorry did not see the comment about the local log file, i will check this

Thete are definitely password gurssing attacks that occur on a continuous basis all over the web.

You should use OTP (2 factor) for all remote access.