André Bischof schrieb:
Hallo,
Hallo!.
bei "forged ip-adressen" könnte es einen dos geben wenn an Angreifer "deine IP nähme" ...wg. Fehlersuche (VNC über Putty: "Forwarded Port closed") habe ich gerade mein ssh in der sshd_config auf LogLevel DEBUG2 gesetzt.Dabei tauchen laufend diese Einträge auf, der username (hier dime) ändert sich dabei leicht, sieht nach einer Wörterbuchattacke aus. Kann ich da was gegen tun (ohne meinen Server vom Netz zu nehmen oder ähnlich drastische Massnahmen)? Die IP-Adresse des angreifenden Servers ist ja dabei.
(bei dialup ips eher sekundär).
wenn dir kein user dime bekannt ist, du nicht das passwort falsch eingegeben hast ...Dec 12 16:20:43 linux sshd[6814]: debug1: do_cleanupDec 12 16:20:43 linux sshd[6816]: debug1: rexec start in 4 out 4 newsock 4 pipe 6 sock 7Dec 12 16:20:43 linux sshd[6347]: debug1: Forked child 6816. Dec 12 16:20:43 linux sshd[6816]: debug1: inetd sockets after dupping: 3, 3 Dec 12 16:20:43 linux sshd[6816]: Connection from 217.20.114.231 port 54530Dec 12 16:20:43 linux sshd[6816]: debug1: Client protocol version 2.0; client software version libssh-0.1Dec 12 16:20:43 linux sshd[6816]: debug1: no match: libssh-0.1Dec 12 16:20:43 linux sshd[6816]: debug1: Enabling compatibility mode for protocol 2.0 Dec 12 16:20:43 linux sshd[6816]: debug1: Local version string SSH-1.99-OpenSSH_4.2p1 Debian-5 Dec 12 16:20:43 linux sshd[6816]: debug1: Miscellaneous failure\nNo such file or directory\nDec 12 16:20:44 linux sshd[6816]: Invalid user dime from 217.20.114.231Dec 12 16:20:44 linux sshd[6816]: error: Could not get shadow information for NOUSER Dec 12 16:20:44 linux sshd[6816]: Failed password for invalid user dime from 217.20.114.231 port 54530 ssh2
Ist das normales Internetrauschen oder muss ich mir Sorgen machen?
Gegenmassnahmen:?!Security by obscurity?: Port verlegen hat bei mir gegen Scriptkiddies geholfen ...
(Gegen einen Cracker wird es nicht viel nutzen ...).Keine root-logins, Nur einloggen per key ..., portknocking (doorman etc.)., Einen "Wrapper" (oder wie das Ding) heisst einsetzen der das "Logfile parst" und "Ips mit zu vielen falschen Verbindungsversuchen abweist etc, pp. Es gibt viele Möglichkeiten und wurde glaube ich auch schon oft genug diskutiert ...
Viele Grüße André
Grüsse MH