Re: logcheck@myhost: PAM 1 more authentication failure
Am Dienstag, 22. Mai 2012 schrieb Andreas Tille:
> Hi,
>
> seit einigen Tagen versucht offensichtlich jemand von immer derselben
> IP-Adresse, sich als root auf einem meiner Server anzumelden:
>
>
> System Events
> =-=-=-=-=-=-=
> May 22 08:26:19 debian-med sshd[16796]: PAM 1 more authentication failure;
> logname= uid=0 euid=0 tty=ssh ruser= rhost=58.216.228.12 May 22 09:01:08
> debian-med sshd[17109]: PAM 1 more authentication failure; logname= uid=0
> euid=0 tty=ssh ruser= rhost=58.216.228.12
>
>
> Das passiert mit einer relativen Stetigkeit (also in etwa zweimal pro
> Stunde). Dazu zwei Fragen:
>
> 1. Sollte man solche kontinuierlichen Angriffsversuche irgendwo
> melden?
> 2. Auf der Maschine ist momentan noch keine Firewall installiert.
> Ist auf Grund dieser Erfahrung dazu zu raten (also root kann
> sich ohnehin nicht per ssh anmelden aber ich brauche keine
> stündliche Meldung von logcheck ...)?
>
> Viele Grüße
>
> Andreas.
Setz den ssh-Port auf einen anderen Wert, z.B. 22222, und Du hast Ruhe.
Gruß
Harry
Reply to: