akamai Geschrieben 28. Juli 2007 Geschrieben 28. Juli 2007 hi, wenn ich in meinen logs eine ip habe welche versucht hat per ssh zuzugreifen, kann ich dieses als eindeutigen angriff auf meinen server werten? hab das mal gelesen, dass man ab dann davon ausgehen kann dass dies so etwas eindeutig darstellt. Zitieren
dgr243 Geschrieben 28. Juli 2007 Geschrieben 28. Juli 2007 nööö nicht zwingend... nen zugriff per ssh kann doch jedes scriptkiddie mit gewissen tools machen es könnte sich auch einfach wer bei der ip vertippt haben ... solang du nicht sekündlich nen logfileeintrag ala "login failed" hast würd ich mir keinen kopp machen .. bei mir laufen im proftpd log momentan mal wieder die login failed hoch .. da will wohl jemand dringend auf den ftp schaun BTT: wenn du nen vernünftig sicheres pwd hast (und natürlich sollte root auch nicht per ssh dürfen..) würd ich mir keinen kopf machen .. wenns überhand nimmt schiebste die zugreifende ip einfach in die iptables mit nem netten DROP Zitieren
akamai Geschrieben 29. Juli 2007 Autor Geschrieben 29. Juli 2007 hab meinen fail2ban laufen deshalb bin ich da unbesorgt - aber wie geschrieben, habe ich mal gelesen in einem forum dass es eben schon ausreicht einen ssh zu versuchen -> aber ok Zitieren
dgr243 Geschrieben 29. Juli 2007 Geschrieben 29. Juli 2007 naja manche definieren nen simplen portscan ja auch schon als angriff im ernst ich bin da relativ entspannt, solange sich keine auffälligkeiten zeigen (100 loginversuche mit wechselndem user / pass pro minute wäre so eine auffölligkeit ) Zitieren
geloescht_JesterDay Geschrieben 30. Juli 2007 Geschrieben 30. Juli 2007 ...habe ich mal gelesen in einem forum dass es eben schon ausreicht einen ssh zu versuchen Und sobald du beim Nachbar vor der Tür stehst und dir sein Türschloss anguckst, kann er das als Einbruch werten Zitieren
akamai Geschrieben 30. Juli 2007 Autor Geschrieben 30. Juli 2007 ok danke - dann wart ich wieder auf bots hatte ich nicht mehr seitdem ich den server neu aufgesetzt hab :confused: grüße Zitieren
aLeXL Geschrieben 30. Juli 2007 Geschrieben 30. Juli 2007 wenns überhand nimmt schiebste die zugreifende ip einfach in die iptables mit nem netten DROP glaub kaum, dass sich die angreifer auf eine ip beschränken. Wenn da plötzlich hunderte anon proxys ihre combo listen rein haun bringt dir das nämlich garnüschts. Zitieren
dgr243 Geschrieben 31. Juli 2007 Geschrieben 31. Juli 2007 glaub kaum, dass sich die angreifer auf eine ip beschränken. Wenn da plötzlich hunderte anon proxys ihre combo listen rein haun bringt dir das nämlich garnüschts. dann wechselt der sshd temporär den port ... oder alternativ kommt ne teegrube davor die entsprechende zugriffsversuche genügend verlangsamt .. massnahmen gibt es ja genug Zitieren
dgr243 Geschrieben 31. Juli 2007 Geschrieben 31. Juli 2007 auch ne variante *auf fiese ideen komm* ist denke ich auch ein wenig persönliche vorliebe ob man seinen "angreifer" lieber ausbremst und ihn so seine ressourcen verbraten lässt oder ob man ihm was vermeintlich leckers vorsetzt oder ganz fies wird und zurückschiesst Zitieren
akamai Geschrieben 1. August 2007 Autor Geschrieben 1. August 2007 ach ich würd ja so gerne mal zurückschiessen -> aber das wird hier wahrscheinlich nicht besprochen :mod: Zitieren
akamai Geschrieben 2. August 2007 Autor Geschrieben 2. August 2007 aber bei sowas Aug 2 00:20:04 akamai sshd[24413]: reverse mapping checking getaddrinfo for hn.kd.jz.adsl failed - POSSIBLE BREAK-IN ATTEMPT! Aug 2 00:20:04 akamai sshd[24413]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.15.37.58 user=root Aug 2 00:20:06 akamai sshd[24413]: Failed password for root from 221.15.37.58 port 52741 ssh2 kann ich doch davon ausgehen dass es kein versehen war oda? Zitieren
akamai Geschrieben 2. August 2007 Autor Geschrieben 2. August 2007 sorry finde den editor button nicht also der eintrag den ich da oben hingesetzt habe war natürlich nich der einzige -> dieser wurde bis zu 20x wiederholt nur mit anderen ports Zitieren
Schlaubi Geschrieben 2. August 2007 Geschrieben 2. August 2007 Wie wäre es wenn Du die Authentifizierung via Passwort garnicht erst erlaubst und nur eine Authentifizierung via SSH PublicKey ermöglichst? Zitieren
lupo49 Geschrieben 2. August 2007 Geschrieben 2. August 2007 Einfach den SSH auf einen anderen Port als 22 setzen. Das sollte schon helfen, da die "Angreifer" nicht die komplette Port-Range abscannen. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.