On 6/21/19 9:42 AM, Uwe Herrmuth wrote: > Hallo Miteinander, > > ich betreibe seit ca. 12 Jahren einen 24/7-Server auf Debian-Basis > (aktuell stretch) hinter einer Fritzbox mit DynDNS. U.a. läuft da auch > ein sshd. > Anfangs lief der noch auf dem Standard-Port 22. Man lernt ja dazu und > seit ich den sshd ein halbes Jahr später auf einem anderen Port > lauschen lasse, hatte ich Ruhe vor den massiven Einbruchsversuchen > über root- oder admin-Accounts von irgendwelchen Script-Kiddies. > Abgesehen davon ist der direkte Root-Zugang eh geblockt. > Eine Portweiterleitung ist in der Fritzbox eingerichtet. > > Seit 2 Tagen beobachte ich aber erneut Einbruchsversuche. > sshd meldet 2-3 mal pro Stunde > > Invalid user store from 103.60.212.221 port 51566 > input_userauth_request: invalid user store [preauth] > pam_unix(sshd:auth): check pass; user unknown > pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 > tty=ssh ruser= rhost=103.60.212.221 > Failed password for invalid user store from 103.60.212.221 port 51566 > ssh2 > Received disconnect from 103.60.212.221 port 51566:11: Bye Bye [preauth] > Disconnected from 103.60.212.221 port 51566 [preauth] > > Username, Remote IP und Port wechseln bei jedem Versuch. > > Die eingetragenen User auf dem Server halten sich in engen Grenzen, die > Passwörter sind auch keine Allerwelts-Passwörter, die man in > irgendwelchen Wörterbüchern finden würde. Von daher mach ich mir > weniger Sorgen, dass mal irgendwann ein Versuch klappen würde. > > Auf die Dauer nerven aber die ständigen Mails über unberechtigte > Zugriffsversuche doch. Deshalb würde ich gern diese Attacken irgendwie > unterbinden. Außerdem frag ich mich, wie man überhaupt über einen > falschen Port über die Fritzbox bis an den Login gelangen kann? Müsste > nicht der sshd oder wer auch immer dem Angreifer auf Grund des > falschen Ports so was melden wie Service nicht erreichbar? > > Hat irgendjemand Ideen zu den 2 Punkten? Zum einen Fail2Ban, ggf. anderen Port nehmen, den cronjob für die Mails auf daily statt hourly stellen, dann nervt es nur einmal am Tag. Und mal überlegen, den SSH Port generell nur für eng eingegrenzte IP Bereiche ferizuschalten, den Rest per se blocken. Oder hast du viele User aus china, russland, indien? Bzw. wie hoch ist die chance, das deine User sich von dort einloggen wollen? > Viele Grüße > Uwe > MfG, Lars Schimmer -- ------------------------------------------------------------- TU Graz, Institut für ComputerGraphik & WissensVisualisierung Tel: +43 316 873-5405 E-Mail: l.schimmer@cgv.tugraz.at Fax: +43 316 873-5402 PGP-Key-ID: 0x4A9B1723
Attachment:
signature.asc
Description: OpenPGP digital signature