Re: Attacken auf ssh-Server

To: debian-user-german@lists.debian.org
Subject: Re: Attacken auf ssh-Server
From: ternaryd <ternaryd@gmail.com>
Date: Fri, 21 Jun 2019 10:23:25 +0200
Message-id: <[🔎] 20190621102325.15af7de5@baco.npl>
In-reply-to: <[🔎] 20190621094245.3615fe61@einstein.curt.lan>
References: <[🔎] 20190621094245.3615fe61@einstein.curt.lan>

On Fri, 21 Jun 2019 09:42:45 +0200
Uwe Herrmuth <u.herrmuth@gmx.de> wrote:

> Anfangs lief der noch auf dem Standard-Port
> 22. Man lernt ja dazu und seit ich den sshd
> ein halbes Jahr später auf einem anderen Port
> lauschen lasse,

Hilft auf die Dauer wenig; schon mit nmap
bekommt man den richtigen port sehr schnell.

> [...] root- oder admin-Accounts von
> irgendwelchen Script-Kiddies.

Sind das in den meisten Fällen nicht. Das sind
automatisierte Prozesse von gut organisierten
Gruppen.

> Seit 2 Tagen beobachte ich aber erneut
> Einbruchsversuche.

qed.

> Username, Remote IP und Port wechseln bei
>jedem Versuch.

klar, und in den meisten Fälle ge-spoof-t. Der
port, den du in den logs siehst ist der
Quell-Port, nicht der Ziel-Port.

> Die eingetragenen User auf dem Server halten
> sich in engen Grenzen, die Passwörter sind
> auch keine Allerwelts-Passwörter, die man in
> irgendwelchen Wörterbüchern finden würde. Von
> daher mach ich mir weniger Sorgen, dass mal
> irgendwann ein Versuch klappen würde.

Beste Lösung über host.deny (alle) und
host.allow (die wenigen legitimen). Loggen nur
im Erfolgsfall. Wenn die legitimen Opfer von
dynamischem IP sind, vielleicht über einen
dynamischen DNS mit Namen was versuchen.

Reply to:

Follow-Ups:
- Re: Attacken auf ssh-Server
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>

References:
- Attacken auf ssh-Server
  - From: Uwe Herrmuth <u.herrmuth@gmx.de>

Prev by Date: Re: Attacken auf ssh-Server
Next by Date: Re: Attacken auf ssh-Server
Previous by thread: Re: Attacken auf ssh-Server
Next by thread: Re: Attacken auf ssh-Server
Index(es):
- Date
- Thread