Re: laufender Angriffsversuch?
On 2005-12-12 16:20:44 +0100, André Bischof wrote:
> wg. Fehlersuche (VNC über Putty: "Forwarded Port closed") habe ich
> gerade mein ssh in der sshd_config auf LogLevel DEBUG2 gesetzt.
>
> Dabei tauchen laufend diese Einträge auf, der username (hier dime)
> ändert sich dabei leicht, sieht nach einer Wörterbuchattacke aus. Kann
> ich da was gegen tun (ohne meinen Server vom Netz zu nehmen oder ähnlich
> drastische Massnahmen)? Die IP-Adresse des angreifenden Servers ist ja
> dabei.
>
[...]
> Ist das normales Internetrauschen oder muss ich mir Sorgen machen?
Das ist normal und bei guten Passworten auch kein Problem. Wenn dir das
aber zu nervig ist, kannst du
- den Port umlegen
- Blacklisting
- auf PAM-Ebene: pam_abl (http://www.hexten.net/pam_abl/)
- auf IP-Ebene: entweder Skripte, die das ssh-Log überwachen und die
iptables-Regel anpassen oder durch adaptive iptables-Regeln mittels
des recent-Moduls.
Ich habe auf einem Rechner, wo sich die Benutzer per ssh anmelden können
und wo man nicht sicher sein kann, dass die Passwörter sicher sind, ein
paar adaptive iptables-Regeln aufgesetzt. Es werden max 4 neue
Verbindungen innerhalb von 60 Sekunden akzeptiert, danach wird die IP
automatisch geblacklistet und wieder freigegeben, wenn 2 Minuten lang
keine neue Verbindungsversuche unternommen werden.
So können sich die User noch anmelden und SSH-Scanner werden nach 4
Versuchen geblockt.
Michael
Reply to: