Attacken auf ssh-Server

To: debian-user-german@lists.debian.org
Subject: Attacken auf ssh-Server
From: Uwe Herrmuth <u.herrmuth@gmx.de>
Date: Fri, 21 Jun 2019 09:42:45 +0200
Message-id: <[🔎] 20190621094245.3615fe61@einstein.curt.lan>

Hallo Miteinander,

ich betreibe seit ca. 12 Jahren einen 24/7-Server auf Debian-Basis
(aktuell stretch) hinter einer Fritzbox mit DynDNS. U.a. läuft da auch
ein sshd.
Anfangs lief der noch auf dem Standard-Port 22. Man lernt ja dazu und
seit ich den sshd ein halbes Jahr später auf einem anderen Port
lauschen lasse, hatte ich Ruhe vor den massiven Einbruchsversuchen
über root- oder admin-Accounts von irgendwelchen Script-Kiddies.
Abgesehen davon ist der direkte Root-Zugang eh geblockt.
Eine Portweiterleitung ist in der Fritzbox eingerichtet.

Seit 2 Tagen beobachte ich aber erneut Einbruchsversuche.
sshd meldet 2-3 mal pro Stunde

Invalid user store from 103.60.212.221 port 51566
input_userauth_request: invalid user store [preauth]
pam_unix(sshd:auth): check pass; user unknown
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0
tty=ssh ruser= rhost=103.60.212.221
Failed password for invalid user store from 103.60.212.221 port 51566
ssh2
Received disconnect from 103.60.212.221 port 51566:11: Bye Bye [preauth]
Disconnected from 103.60.212.221 port 51566 [preauth]

Username, Remote IP und Port wechseln bei jedem Versuch.

Die eingetragenen User auf dem Server halten sich in engen Grenzen, die
Passwörter sind auch keine Allerwelts-Passwörter, die man in
irgendwelchen Wörterbüchern finden würde. Von daher mach ich mir
weniger Sorgen, dass mal irgendwann ein Versuch klappen würde.

Auf die Dauer nerven aber die ständigen Mails über unberechtigte
Zugriffsversuche doch. Deshalb würde ich gern diese Attacken irgendwie
unterbinden. Außerdem frag ich mich, wie man überhaupt über einen
falschen Port über die Fritzbox bis an den Login gelangen kann? Müsste
nicht der sshd oder wer auch immer dem Angreifer auf Grund des
falschen Ports so was melden wie Service nicht erreichbar?

Hat irgendjemand Ideen zu den 2 Punkten? 

Viele Grüße
Uwe

-- 
Debian GNU/Linux 10 (buster) Kernel 4.19.37-3 Xfce 4.12

Sag NEIN zu globalen Spionageprogrammen!
<https://prism-break.org/#de>

<http://www.frankgehtran.de/>

Attachment: pgp1sDOoEmfTQ.pgp
Description: Digitale Signatur von OpenPGP

Reply to:

Follow-Ups:
- Re: Attacken auf ssh-Server
  - From: Norbert Preining <preining@logic.at>
- Re: Attacken auf ssh-Server
  - From: Lars Schimmer <l.schimmer@cgv.tugraz.at>
- Re: Attacken auf ssh-Server
  - From: Jochen van Geldern <dd8pz@imail.de>
- Re: Attacken auf ssh-Server
  - From: ternaryd <ternaryd@gmail.com>
- Re: Attacken auf ssh-Server
  - From: Boris <boris@cation.de>
- Re: Attacken auf ssh-Server
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>
- Re: Attacken auf ssh-Server
  - From: Martin Steigerwald <martin@lichtvoll.de>
- Re: Attacken auf ssh-Server
  - From: Patrick Reichel <par78@gmx.de>
- Re: Attacken auf ssh-Server
  - From: Matthias Taube <no_html.max50kb@nurfuerspam.de>

Prev by Date: Aw: Re: Installation des aktuellen Debians auf HP PROBOOK 470 G4
Next by Date: Re: Attacken auf ssh-Server
Previous by thread: Re: Installation des aktuellen Debians auf HP PROBOOK 470 G4
Next by thread: Re: Attacken auf ssh-Server
Index(es):
- Date
- Thread