Re: Was bedeutet diese Meldung?

To: debian-user-german@lists.debian.org
Subject: Re: Was bedeutet diese Meldung?
From: Rainer Ellinger <rainer@ellinger.de>
Date: Fri, 29 Nov 2002 11:36:16 +0100
Message-id: <[🔎] 200211290948.57415@ellinger.de>
In-reply-to: <[🔎] 20021129084635.2A3DE1F4EF@murphy.debian.org>
References: <[🔎] 20021129084635.2A3DE1F4EF@murphy.debian.org>

Torsten Puls schrieb:
> Nov 28 20:53:38 webserver sshd[16606]: Did not receive identification
> string from 123.456.789.200

Der Client hat eine Verbindung hergestellt, die Meldung erhalten, 
welche SSH-Version Du fährst, selbst aber nicht geantwortet, welche 
SSH-Version er selbst verwendet und direkt wieder beendet.

Typischer Scan, ob Du SSH am laufen hast und welche Version. Panik muss 
man deswegen nicht haben, wenn man eine sichere Version hat. Und nicht 
jeder Scan ist ein bösartiger Scan. Das ist manchmal kaum zu beurteilen 
und muss man gerade den Leuten sagen, die jedes Ping als Angriff zählen.

Ein potentieller Angreifer könnte den obigen Eintrag auch protokoll-
technisch verhindern. Wenn Du also den Loglevel höher setzt, so dass 
auch die Connects protokolliert werden oder analoges über iptables 
realisierst und es dann erfolglose Connects _ohne_ obige Logmeldung 
gibt, dann wäre das verdächtig und seltsam. 

-- 
rainer@ellinger.de

Reply to:

Follow-Ups:
- Re: Was bedeutet diese Meldung?
  - From: Torsten Puls <toto@pumpum.de>

References:
- Was bedeutet diese Meldung?
  - From: Torsten Puls <toto@pumpum.de>

Prev by Date: RE: Traffic Analyse
Next by Date: Re: OT: Cron-gesteuerte Löschung von Verzeichnissen
Previous by thread: Re: Was bedeutet diese Meldung?
Next by thread: Re: Was bedeutet diese Meldung?
Index(es):
- Date
- Thread