[DUP] Angriff auf sshd

c_m · Guru Joined: 29 Jun 2005 Posts: 358

Hallo Leute,

mir ist gestern bei der Lektüre meines Logfiles aufgefallen, dass irgendjemand versucht per bruteforce auf den sshd zu kommen.
Bis jetzt scheints erfolglos zu sein und ich habe auch gleich mal mein passwort geändert (etwas sicherer).
Das ganze läuft seit Tagen nach folgendem Motto ab:

Lenz · Posted: Wed Feb 01, 2006 7:57 am Post subject:

Tjo, das ist wohl mehr oder weniger "normal", wenn man sshd am Laufen hat. Eine einfache Möglichkeit, dem entgegenzuwirken, ist, ssh auf einen anderen Port zu legen (einfach nicht den Standardport verwenden).

Rootlogin sollte man verbieten, so veringert sich die Erfolgschance dieser Bots erheblich (weil sie dann sowohl den Usernamen als auch das Passwort herausfinden müssen). Und mittels "su" bekommst du ja auf jedenfall nach wie vor vollen Zugriff. Langes und kompliziertes Passwort ist auch nicht verkehrt.
_________________
.:: Lenz' Signature 1.7b ::.

| Gentoo Linux since v1.4 (08-2003) [Screenshot]
| NetHack Highscore: 5.476.380 Pts., Val-Dwa-Fem-Law, ~ ascended to demigoddess-hood ~

cng · Guru Joined: 25 Feb 2004 Posts: 332 Location: Appenzell

ich hatte auch schon einmal das problem, dass jemand versucht hat auf
mein system zuzugreifen. nach über einer woche hatte ich die nase voll
und wertete die ip aus. die ips stammen von der t-online. die haben eine
seite, bei welcher man solche sachen angeben konnte. ich bekam eine
bestätigung, dass sie wissen, welcher dialup user es sei. aber mehr
passierte nicht. die hacks gingen weiter. erst als ich mit gegenmassnahmen
drohte, hörten die zugriffsversuche blitzartig auf. einmal musste ich auch
mein provider einbeziehen, damit eine spammailflut gestopt wurde. dort
wars ein us-provider. auch von dort habe ich ruhe....

die österreicher haben da ne seite wo man daten abrufen kann whois usw..
_________________
Gentoo-Community - Your family
#####################

c_m · Guru Joined: 29 Jun 2005 Posts: 358

Ich hab jetzt erstmal den Port geändert und root login abgestellt (nurnoch über wheel-User möglich).

Danke für die anregung mit der Whois seite! Werd ich drauf zurück kommen wenn nochmal was passiert. :-)

//Edit: Hast du ggf. noch die Links von den Melde-/WHoisseiten die du genutzt hast??
_________________
This must be thursday ...

_hephaistos_ · Posted: Wed Feb 01, 2006 8:50 am Post subject:

eventuell, wenn nur gewisse leute auf ssh zugriff haben - und das auch nur manchmal:

könnte ev. net-misc/knock ein nettes tool sein:
http://www.zeroflux.org/knock/
_________________
-l: signature: command not found

76062563 · l33t Joined: 16 Aug 2004 Posts: 637 Location: 127.0.0.1

cng · Guru Joined: 25 Feb 2004 Posts: 332 Location: Appenzell

oder http://who-is.at/

das mit der meldestelle fand ich nicht mehr.
ich habe damals die ip-adressen im webbrowser
eingegeben und kam so auf die ensprechende seite
(infotext)
_________________
Gentoo-Community - Your family
#####################

cng · Guru Joined: 25 Feb 2004 Posts: 332 Location: Appenzell

t-online seite doch noch gefunden -> http://www2.service.t-online.de/dyn/c/12/34/27/1234272.html
_________________
Gentoo-Community - Your family
#####################

mrsteven · Veteran Joined: 04 Jul 2003 Posts: 1939

Du solltest auch noch das Login per Passwort deaktivieren und stattdessen lieber die Identity/Pubkey Authentifizierung verwenden. Wie das geht, steht zum Beispiel :arrow:

hier.

c_m · Guru Joined: 29 Jun 2005 Posts: 358

dertobi123 · Posted: Wed Feb 01, 2006 12:15 pm Post subject:

Was zum Teufel ist so schwierig daran die Suchfunktion zu benutzen?

amne · Posted: Wed Feb 01, 2006 4:06 pm Post subject:

Hatten wir schon ein oder zweimal, siehe z.B.
https://forums.gentoo.org/viewtopic-t-348858.html
https://forums.gentoo.org/viewtopic-t-364393.html
https://forums.gentoo.org/viewtopic-t-395686.html

Als Duplikat geschlossen.
_________________
Dinosaur week! (Ok, this thread is so last week)