R.Holdmann schrieb:
Passt etwas zum "Root-Server absichern" Thread.
Hi,
Seit ein paar Tagen erlebe ich massive Versuche indem Unbekannte per SSH
sich auf meinem Server einzuloggen versuchen. Alle Versuche laufen als
Root. Unter massiv verstehe ich weit über 100 Male am Tag, von normal
2-5. Vor und während der Olympiade war komplett Ruhe, kein einer
Versuch. Ich dachte schon der Service wäre tot. Ich bin mir auch nicht
bewusst neue Freunde zu haben.
# cat /var/log/syslog | grep "invalid user" > invalidusers
# wc -l invalidusers
23210 invalidusers
Dec 19 09:55:54 <Hostname> sshd[1138]: Failed keyboard-interactive/pam
for invalid user roost from 82.130.80.142 port 47899 ssh2
<snip>
Sep 4 21:04:25 <Hostname> sshd[28556]: Failed keyboard-interactive/pam
for invalid user posrgres from 200.53.121.213 port 48013 ssh2
ca 2.5*10^2 Tage, ca 2.5*10^4 Versuche macht ca 10^2 Versuche pro Tag.
Und da ist root nicht mal dabei... Und eine iptables chain die
blacklistet ist auch am start...
Ich habe schon damals beizeiten Denyhosts installiert und scharf
eingestellt. 2 misslungene Versuche und die IP steht für 3 Monate auf
der Blacklist.
Die Quelle der Versuche sind weltweit verstreut, viele aus BR, AG, PL,
RU sogar einige t-online accounts, vermutlich sind das DSL-Zombies. Ich
habe keine wirklichen Befürchtungen, doch diese rapide Anstieg der
Versuche ist zumindest etwas Besorgnis erregend.
Das hatte ich aber vor Jahren auch schon so...
fyi!
cu
Dieter
--
----------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org
