Re: SSH-BruteForce-Attacken
Also sprach Andreas Appenheimer <a_c_a@gmx.de> (Sun, 31 Jul 2005
10:29:36 +0200):
> Hallo Welt,
>
> in letzter Zeit häufen sich wieder die SSH-BruteForce Attacken und ich
> bin darüber ziemlich abgenervt. Hauptgrund wahrscheinlich, weil einer
> meiner Root-Server mal über ein php-Forum von einem meiner Kunden
> gehackt wurde und der Angreifer es geschafft ein rootkit zu
> installieren.
>
>
> Frage(n):
> * Wie gefährlich sind diese Attacken wirklich?
nicht sehr. die verwendeten usernames werden zwar immer kreativer, die
passwoerter aber nicht. allerdings sind sie laesstig und deswegen
verwende ich mittlerweile einen knockdaemon oder binde ssh an einen
anderen port oder verwende x6g89t5f als user und 7^!A-Bd# als pass ;)
> * Ist es sinnvoll an den jeweiligen abuse@ISP 'ne Meldung zu schicken?
wie sinnvoll das ist haengt sicher von der anderen seite ab. manchmal:
ja, oefter: leider nein.
> * Ist es sinnvoll bzw. überhaupt möglich solche IPs zu
> bannen/blocken(quasi als Sanktion)?
eher nein. ich hab selten gleiche IPs geloggt. vielleicht waere es
sinnvoll gewisse bereiche, von denen eigentlich keine anfrage kommen
"kann" sowieso zu blocken. zb. nur adressen aus .de/.at/.ch (woher
halt der kunde kommt) zulassen. wie das mit den ip-adress-bereichen
aussieht kann ich nicht sagen - nur als spontane idee.
dann hab ich aber auch einige besonders hartnaeckige attacken in den
logs, die sich ueber fast eine stunde hinziehen. ein kleines script dass
die ip ins abseits schickt kann hier nicht schaden.
> [...]
> Gruß
> Andreas
sl ritch
Reply to: