Hallo Miteinander, ich betreibe seit ca. 12 Jahren einen 24/7-Server auf Debian-Basis (aktuell stretch) hinter einer Fritzbox mit DynDNS. U.a. läuft da auch ein sshd. Anfangs lief der noch auf dem Standard-Port 22. Man lernt ja dazu und seit ich den sshd ein halbes Jahr später auf einem anderen Port lauschen lasse, hatte ich Ruhe vor den massiven Einbruchsversuchen über root- oder admin-Accounts von irgendwelchen Script-Kiddies. Abgesehen davon ist der direkte Root-Zugang eh geblockt. Eine Portweiterleitung ist in der Fritzbox eingerichtet. Seit 2 Tagen beobachte ich aber erneut Einbruchsversuche. sshd meldet 2-3 mal pro Stunde Invalid user store from 103.60.212.221 port 51566 input_userauth_request: invalid user store [preauth] pam_unix(sshd:auth): check pass; user unknown pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.60.212.221 Failed password for invalid user store from 103.60.212.221 port 51566 ssh2 Received disconnect from 103.60.212.221 port 51566:11: Bye Bye [preauth] Disconnected from 103.60.212.221 port 51566 [preauth] Username, Remote IP und Port wechseln bei jedem Versuch. Die eingetragenen User auf dem Server halten sich in engen Grenzen, die Passwörter sind auch keine Allerwelts-Passwörter, die man in irgendwelchen Wörterbüchern finden würde. Von daher mach ich mir weniger Sorgen, dass mal irgendwann ein Versuch klappen würde. Auf die Dauer nerven aber die ständigen Mails über unberechtigte Zugriffsversuche doch. Deshalb würde ich gern diese Attacken irgendwie unterbinden. Außerdem frag ich mich, wie man überhaupt über einen falschen Port über die Fritzbox bis an den Login gelangen kann? Müsste nicht der sshd oder wer auch immer dem Angreifer auf Grund des falschen Ports so was melden wie Service nicht erreichbar? Hat irgendjemand Ideen zu den 2 Punkten? Viele Grüße Uwe -- Debian GNU/Linux 10 (buster) Kernel 4.19.37-3 Xfce 4.12 Sag NEIN zu globalen Spionageprogrammen! <https://prism-break.org/#de> <http://www.frankgehtran.de/>
Attachment:
pgp1sDOoEmfTQ.pgp
Description: Digitale Signatur von OpenPGP