logcheck und ssh

To: debian-user-german@lists.debian.org
Subject: logcheck und ssh
From: Peter Jordan <usernetwork@gmx.info>
Date: Tue, 25 Nov 2008 12:01:50 +0100
Message-id: <[🔎] gggluv$t9t$1@ger.gmane.org>

Hallo,

mir gehen in den letzen Tagen die logcheck Meldugen zu den Botnetz
angriffen auf einen von mir betreuten SSH Server ziemlich auf die Nerven.

Spricht irgendetwas dagegen, die folgenden log Einträge von logcheck
ignorieren zu lassen?

^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]:
\(pam_unix\) authentication failure; logname= uid=0 euid=0 tty=ssh
ruser= rhost=[^[:space:]]+([[:space:]]+user=[^[:space:]]+)?$
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: error:
PAM: User not known to the underlying authentication module for
i(llegal|nvalid) user [^[:space:]]+ from
([:.[:xdigit:]]+|UNKNOWN|[-_.[:alnum:]]+)$

Ich meine ungültige Nutzer können sich am System sowieso nicht anmelden,
daher geht von solchen Attacken prinzipiell doch eine sehr geringe
Gefahr aus, sollten die Botnetze Attacken auf existierende Nutzer
fahren, schlägt logcheck ja wieder an, oder schätze ich da etwas
komplett falsch ein?

Gruß,

PJ

Reply to:

Prev by Date: Re: Probleme mit nfsmount seit Lenny auf einem Client
Next by Date: Re: Shared Maildir mit Courier-Imap
Previous by thread: Re: Ersatz für Treo 650
Next by thread: mysql-DB in utf8 verändern
Index(es):
- Date
- Thread