28. Juli 200718 j hi, wenn ich in meinen logs eine ip habe welche versucht hat per ssh zuzugreifen, kann ich dieses als eindeutigen angriff auf meinen server werten? hab das mal gelesen, dass man ab dann davon ausgehen kann dass dies so etwas eindeutig darstellt.
28. Juli 200718 j nööö nicht zwingend... nen zugriff per ssh kann doch jedes scriptkiddie mit gewissen tools machen es könnte sich auch einfach wer bei der ip vertippt haben ... solang du nicht sekündlich nen logfileeintrag ala "login failed" hast würd ich mir keinen kopp machen .. bei mir laufen im proftpd log momentan mal wieder die login failed hoch .. da will wohl jemand dringend auf den ftp schaun BTT: wenn du nen vernünftig sicheres pwd hast (und natürlich sollte root auch nicht per ssh dürfen..) würd ich mir keinen kopf machen .. wenns überhand nimmt schiebste die zugreifende ip einfach in die iptables mit nem netten DROP
29. Juli 200718 j hab meinen fail2ban laufen deshalb bin ich da unbesorgt - aber wie geschrieben, habe ich mal gelesen in einem forum dass es eben schon ausreicht einen ssh zu versuchen -> aber ok
29. Juli 200718 j naja manche definieren nen simplen portscan ja auch schon als angriff im ernst ich bin da relativ entspannt, solange sich keine auffälligkeiten zeigen (100 loginversuche mit wechselndem user / pass pro minute wäre so eine auffölligkeit )
30. Juli 200718 j ...habe ich mal gelesen in einem forum dass es eben schon ausreicht einen ssh zu versuchen Und sobald du beim Nachbar vor der Tür stehst und dir sein Türschloss anguckst, kann er das als Einbruch werten
30. Juli 200718 j ok danke - dann wart ich wieder auf bots hatte ich nicht mehr seitdem ich den server neu aufgesetzt hab :confused: grüße
30. Juli 200718 j wenns überhand nimmt schiebste die zugreifende ip einfach in die iptables mit nem netten DROP glaub kaum, dass sich die angreifer auf eine ip beschränken. Wenn da plötzlich hunderte anon proxys ihre combo listen rein haun bringt dir das nämlich garnüschts.
31. Juli 200718 j glaub kaum, dass sich die angreifer auf eine ip beschränken. Wenn da plötzlich hunderte anon proxys ihre combo listen rein haun bringt dir das nämlich garnüschts. dann wechselt der sshd temporär den port ... oder alternativ kommt ne teegrube davor die entsprechende zugriffsversuche genügend verlangsamt .. massnahmen gibt es ja genug
31. Juli 200718 j auch ne variante *auf fiese ideen komm* ist denke ich auch ein wenig persönliche vorliebe ob man seinen "angreifer" lieber ausbremst und ihn so seine ressourcen verbraten lässt oder ob man ihm was vermeintlich leckers vorsetzt oder ganz fies wird und zurückschiesst
1. August 200718 j ach ich würd ja so gerne mal zurückschiessen -> aber das wird hier wahrscheinlich nicht besprochen :mod:
2. August 200718 j aber bei sowas Aug 2 00:20:04 akamai sshd[24413]: reverse mapping checking getaddrinfo for hn.kd.jz.adsl failed - POSSIBLE BREAK-IN ATTEMPT! Aug 2 00:20:04 akamai sshd[24413]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.15.37.58 user=root Aug 2 00:20:06 akamai sshd[24413]: Failed password for root from 221.15.37.58 port 52741 ssh2 kann ich doch davon ausgehen dass es kein versehen war oda?
2. August 200718 j sorry finde den editor button nicht also der eintrag den ich da oben hingesetzt habe war natürlich nich der einzige -> dieser wurde bis zu 20x wiederholt nur mit anderen ports
2. August 200718 j Wie wäre es wenn Du die Authentifizierung via Passwort garnicht erst erlaubst und nur eine Authentifizierung via SSH PublicKey ermöglichst?
2. August 200718 j Einfach den SSH auf einen anderen Port als 22 setzen. Das sollte schon helfen, da die "Angreifer" nicht die komplette Port-Range abscannen.
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.