ssh versuch = melden

[akamai]

hi,

wenn ich in meinen logs eine ip habe welche versucht hat per ssh zuzugreifen, kann ich dieses als eindeutigen angriff auf meinen server werten?

hab das mal gelesen, dass man ab dann davon ausgehen kann dass dies so etwas eindeutig darstellt.

[dgr243]

nööö nicht zwingend...

nen zugriff per ssh kann doch jedes scriptkiddie mit gewissen tools machen

es könnte sich auch einfach wer bei der ip vertippt haben ...

solang du nicht sekündlich nen logfileeintrag ala "login failed" hast würd ich mir keinen kopp machen ..

bei mir laufen im proftpd log momentan mal wieder die login failed hoch .. da will wohl jemand dringend auf den ftp schaun

BTT:

wenn du nen vernünftig sicheres pwd hast (und natürlich sollte root auch nicht per ssh dürfen..) würd ich mir keinen kopf machen .. wenns überhand nimmt schiebste die zugreifende ip einfach in die iptables mit nem netten DROP

[akamai]

hab meinen fail2ban laufen deshalb bin ich da unbesorgt - aber wie geschrieben, habe ich mal gelesen in einem forum dass es eben schon ausreicht einen ssh zu versuchen -> aber ok

[dgr243]

naja manche definieren nen simplen portscan ja auch schon als angriff

im ernst ich bin da relativ entspannt, solange sich keine auffälligkeiten zeigen (100 loginversuche mit wechselndem user / pass pro minute wäre so eine auffölligkeit )

[geloescht_JesterDay]

...habe ich mal gelesen in einem forum dass es eben schon ausreicht einen ssh zu versuchen

Und sobald du beim Nachbar vor der Tür stehst und dir sein Türschloss anguckst, kann er das als Einbruch werten

[akamai]

ok danke - dann wart ich wieder auf bots hatte ich nicht mehr seitdem ich den server neu aufgesetzt hab :confused:

grüße

[aLeXL]

wenns überhand nimmt schiebste die zugreifende ip einfach in die iptables mit nem netten DROP

glaub kaum, dass sich die angreifer auf eine ip beschränken. Wenn da plötzlich hunderte anon proxys ihre combo listen rein haun bringt dir das nämlich garnüschts.

[akamai]

aight

[dgr243]

glaub kaum, dass sich die angreifer auf eine ip beschränken. Wenn da plötzlich hunderte anon proxys ihre combo listen rein haun bringt dir das nämlich garnüschts.

dann wechselt der sshd temporär den port ...

oder alternativ kommt ne teegrube davor die entsprechende zugriffsversuche genügend verlangsamt .. massnahmen gibt es ja genug

[Schlaubi]

Stichwort: Honeypots

[dgr243]

auch ne variante *auf fiese ideen komm*

ist denke ich auch ein wenig persönliche vorliebe ob man seinen "angreifer" lieber ausbremst und ihn so seine ressourcen verbraten lässt oder ob man ihm was vermeintlich leckers vorsetzt oder ganz fies wird und zurückschiesst

[akamai]

ach ich würd ja so gerne mal zurückschiessen -> aber das wird hier wahrscheinlich nicht besprochen :mod:

[akamai]

aber bei sowas

Aug 2 00:20:04 akamai sshd[24413]: reverse mapping checking getaddrinfo for hn.kd.jz.adsl failed - POSSIBLE BREAK-IN ATTEMPT!

Aug 2 00:20:04 akamai sshd[24413]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.15.37.58 user=root

Aug 2 00:20:06 akamai sshd[24413]: Failed password for root from 221.15.37.58 port 52741 ssh2

kann ich doch davon ausgehen dass es kein versehen war oda?

[akamai]

sorry finde den editor button nicht

also der eintrag den ich da oben hingesetzt habe war natürlich nich der einzige -> dieser wurde bis zu 20x wiederholt nur mit anderen ports

[Schlaubi]

Wie wäre es wenn Du die Authentifizierung via Passwort garnicht erst erlaubst

und nur eine Authentifizierung via SSH PublicKey ermöglichst?

[lupo49]

Einfach den SSH auf einen anderen Port als 22 setzen. Das sollte schon helfen, da die "Angreifer" nicht die komplette Port-Range abscannen.