Re: logcheck@myhost: PAM 1 more authentication failure

To: debian-user-german@lists.debian.org
Subject: Re: logcheck@myhost: PAM 1 more authentication failure
From: "Dr. Harry Knitter" <harry@knitter-edv-beratung.de>
Date: Tue, 22 May 2012 13:29:44 +0200
Message-id: <[🔎] 201205221329.44498.harry@knitter-edv-beratung.de>
In-reply-to: <[🔎] 20120522110953.GE8212@an3as.eu>
References: <[🔎] 20120522110953.GE8212@an3as.eu>

Am Dienstag, 22. Mai 2012 schrieb Andreas Tille:
> Hi,
> 
> seit einigen Tagen versucht offensichtlich jemand von immer derselben
> IP-Adresse, sich als root auf einem meiner Server anzumelden:
> 
> 
> System Events
> =-=-=-=-=-=-=
> May 22 08:26:19 debian-med sshd[16796]: PAM 1 more authentication failure;
> logname= uid=0 euid=0 tty=ssh ruser= rhost=58.216.228.12 May 22 09:01:08
> debian-med sshd[17109]: PAM 1 more authentication failure; logname= uid=0
> euid=0 tty=ssh ruser= rhost=58.216.228.12
> 
> 
> Das passiert mit einer relativen Stetigkeit (also in etwa zweimal pro
> Stunde).  Dazu zwei Fragen:
> 
>   1. Sollte man solche kontinuierlichen Angriffsversuche irgendwo
>      melden?
>   2. Auf der Maschine ist momentan noch keine Firewall installiert.
>      Ist auf Grund dieser Erfahrung dazu zu raten (also root kann
>      sich ohnehin nicht per ssh anmelden aber ich brauche keine
>      stündliche Meldung von logcheck ...)?
> 
> Viele Grüße
> 
>        Andreas.

Setz den ssh-Port auf einen anderen Wert, z.B. 22222, und Du hast Ruhe.

Gruß

Harry

Reply to:

Follow-Ups:
- Re: logcheck@myhost: PAM 1 more authentication failure
  - From: Stephan Saathoff <stephan@ls42.de>

References:
- logcheck@myhost: PAM 1 more authentication failure
  - From: Andreas Tille <andreas@an3as.eu>

Prev by Date: Re: Perl Net::RawIP kastriert?
Next by Date: Re: logcheck@myhost: PAM 1 more authentication failure
Previous by thread: Re: logcheck@myhost: PAM 1 more authentication failure
Next by thread: Re: logcheck@myhost: PAM 1 more authentication failure
Index(es):
- Date
- Thread