Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

hi,

wenn ich in meinen logs eine ip habe welche versucht hat per ssh zuzugreifen, kann ich dieses als eindeutigen angriff auf meinen server werten?

hab das mal gelesen, dass man ab dann davon ausgehen kann dass dies so etwas eindeutig darstellt.

Geschrieben

nööö nicht zwingend...

nen zugriff per ssh kann doch jedes scriptkiddie mit gewissen tools machen ;)

es könnte sich auch einfach wer bei der ip vertippt haben ...

solang du nicht sekündlich nen logfileeintrag ala "login failed" hast würd ich mir keinen kopp machen ..

bei mir laufen im proftpd log momentan mal wieder die login failed hoch .. da will wohl jemand dringend auf den ftp schaun :D

BTT:

wenn du nen vernünftig sicheres pwd hast (und natürlich sollte root auch nicht per ssh dürfen..) würd ich mir keinen kopf machen .. wenns überhand nimmt schiebste die zugreifende ip einfach in die iptables mit nem netten DROP :)

Geschrieben

hab meinen fail2ban laufen deshalb bin ich da unbesorgt - aber wie geschrieben, habe ich mal gelesen in einem forum dass es eben schon ausreicht einen ssh zu versuchen -> aber ok ;)

Geschrieben

naja manche definieren nen simplen portscan ja auch schon als angriff ;)

im ernst ich bin da relativ entspannt, solange sich keine auffälligkeiten zeigen (100 loginversuche mit wechselndem user / pass pro minute wäre so eine auffölligkeit :D )

Geschrieben
wenns überhand nimmt schiebste die zugreifende ip einfach in die iptables mit nem netten DROP :)

glaub kaum, dass sich die angreifer auf eine ip beschränken. Wenn da plötzlich hunderte anon proxys ihre combo listen rein haun bringt dir das nämlich garnüschts.

Geschrieben
glaub kaum, dass sich die angreifer auf eine ip beschränken. Wenn da plötzlich hunderte anon proxys ihre combo listen rein haun bringt dir das nämlich garnüschts.

dann wechselt der sshd temporär den port ...

oder alternativ kommt ne teegrube davor die entsprechende zugriffsversuche genügend verlangsamt .. massnahmen gibt es ja genug :D

Geschrieben

auch ne variante *auf fiese ideen komm*

ist denke ich auch ein wenig persönliche vorliebe ob man seinen "angreifer" lieber ausbremst und ihn so seine ressourcen verbraten lässt oder ob man ihm was vermeintlich leckers vorsetzt oder ganz fies wird und zurückschiesst :D

Geschrieben

aber bei sowas

Aug 2 00:20:04 akamai sshd[24413]: reverse mapping checking getaddrinfo for hn.kd.jz.adsl failed - POSSIBLE BREAK-IN ATTEMPT!

Aug 2 00:20:04 akamai sshd[24413]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.15.37.58 user=root

Aug 2 00:20:06 akamai sshd[24413]: Failed password for root from 221.15.37.58 port 52741 ssh2

kann ich doch davon ausgehen dass es kein versehen war oda? ;)

Geschrieben

sorry finde den editor button nicht

also der eintrag den ich da oben hingesetzt habe war natürlich nich der einzige -> dieser wurde bis zu 20x wiederholt nur mit anderen ports

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...