Re: [PUG] SSH-Attacken
Hallo. Also hier hilft IMHO für's erste doch schon mal, den SSH-Port zu verlegen. Ich habe seit dem nie mehr derlei Loginversuche auf dem Server gehabt. Über den Sinn dieser Massnahme habt ihr in einem anderen Thread schon diskutiert. Gruß Peter -- http://www.afaik.de/usenet/faq/zitieren/ BOFH excuse #414: tachyon emissions overloading the system -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] SSH-Attacken
R.Holdmann schrieb: Seit ein paar Tagen erlebe ich massive Versuche indem Unbekannte per SSH sich auf meinem Server einzuloggen versuchen. Alle Versuche laufen als Root. Unter massiv verstehe ich weit über 100 Male am Tag, von normal 2-5. Vor und während der Olympiade war komplett Ruhe, kein einer Versuch. Ich dachte schon der Service wäre tot. Ich bin mir auch nicht bewusst neue Freunde zu haben. Solche Wellen sehe ich immer mal wieder. Das einzig etwas ungewöhnliche an der, die ich im Moment beobachte, ist, daß sie ausschließlich einen alten und vor der Abschaltung stehenden vServer trifft, während bei anderen von mir betreuten hosts nur die üblichen Tröpfchen zu sehen sind. Vielleicht ist da einfach jemand neu im Geschäft. Gruß mks -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] SSH-Attacken
R.Holdmann schrieb: Passt etwas zum "Root-Server absichern" Thread. Hi, Seit ein paar Tagen erlebe ich massive Versuche indem Unbekannte per SSH sich auf meinem Server einzuloggen versuchen. Alle Versuche laufen als Root. Unter massiv verstehe ich weit über 100 Male am Tag, von normal 2-5. Vor und während der Olympiade war komplett Ruhe, kein einer Versuch. Ich dachte schon der Service wäre tot. Ich bin mir auch nicht bewusst neue Freunde zu haben. # cat /var/log/syslog | grep "invalid user" > invalidusers # wc -l invalidusers 23210 invalidusers Dec 19 09:55:54 sshd[1138]: Failed keyboard-interactive/pam for invalid user roost from 82.130.80.142 port 47899 ssh2 Sep 4 21:04:25 sshd[28556]: Failed keyboard-interactive/pam for invalid user posrgres from 200.53.121.213 port 48013 ssh2 ca 2.5*10^2 Tage, ca 2.5*10^4 Versuche macht ca 10^2 Versuche pro Tag. Und da ist root nicht mal dabei... Und eine iptables chain die blacklistet ist auch am start... Ich habe schon damals beizeiten Denyhosts installiert und scharf eingestellt. 2 misslungene Versuche und die IP steht für 3 Monate auf der Blacklist. Die Quelle der Versuche sind weltweit verstreut, viele aus BR, AG, PL, RU sogar einige t-online accounts, vermutlich sind das DSL-Zombies. Ich habe keine wirklichen Befürchtungen, doch diese rapide Anstieg der Versuche ist zumindest etwas Besorgnis erregend. Das hatte ich aber vor Jahren auch schon so... fyi! cu Dieter -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] SSH-Attacken
also dann fange ich jetzt schon an, das n bisserl besorgniserregend zu finden ich habe am 3. Sep ~09:40 mehrer denyhosts.conf angepasst und die notification abgestellt, genau das selbe, und da ging es teilweise wirklich im minutentakt, dass ich mails bekommen habe. hab mich vorher immer dran erfreut, aber vorgestern/gestern gings mir echt aufn keks R.Holdmann schrieb: > Passt etwas zum "Root-Server absichern" Thread. > > Seit ein paar Tagen erlebe ich massive Versuche indem Unbekannte per SSH > sich auf meinem Server einzuloggen versuchen. Alle Versuche laufen als > Root. Unter massiv verstehe ich weit über 100 Male am Tag, von normal > 2-5. Vor und während der Olympiade war komplett Ruhe, kein einer > Versuch. Ich dachte schon der Service wäre tot. Ich bin mir auch nicht > bewusst neue Freunde zu haben. > > Ich habe schon damals beizeiten Denyhosts installiert und scharf > eingestellt. 2 misslungene Versuche und die IP steht für 3 Monate auf > der Blacklist. > > Die Quelle der Versuche sind weltweit verstreut, viele aus BR, AG, PL, > RU sogar einige t-online accounts, vermutlich sind das DSL-Zombies. Ich > habe keine wirklichen Befürchtungen, doch diese rapide Anstieg der > Versuche ist zumindest etwas Besorgnis erregend. > > fyi! > > -- PUG - Penguin User Group Wiesbaden - http://www.pug.org