Ungewöhnliche SSH-Anmeldeversuche

Hallo,

seit zwei Tagen läuft nun mein zweiter Server wie gewohnt, keinerlei Probleme oder ähnliches, jedoch steht in der /var/log/auth.log, dass es mehr als 5.000 fehlgeschlagene Anmeldeversuche von mehreren IP-Adressen aus Deutschland (Webtropia) und einige aus dem Ausland gibt.

Ausländische Möchtegern-Hacker hat denke ich mal jeder, aber 8 verschiedene Deutsche IP-Adressen von Webtropia, Hetzner und Co?

Ich bin kurz davor Strafanzeige gegen diese IP-Adressen zu erstatten, da mein SSH-Dienst manchmal abstürzt ...

Was meint ihr dazu?

Läuft SSH auf Port 22?
Wenn ja, dann ist es, meiner Meinung nach, selbst schuld.

Port ändern und fail2ban installieren, schon ist ruhe.

Hallo,

das ändern des Ports macht auch wenig Sinn, da man es z.B. über nmap auslesen kann, welche Ports letzendlich offen sind. Und an fail2ban habe ich noch garnicht gedacht, ich werde mal schauen.

Gefühlt 99,9% der Bots probieren aber nur den Standard-Port.

fail2ban hat bei mir mit geänderten SSH Port noch nie Alarm geschlagen, außer bei selbst verschuldeten Versuchen.

Hallo,

habe es eben gerade installiert, und es klappt.
Bisher wurden 4 IP-Adressen gesperrt o.O

Den SSH-Port werde ich nun auch ändern.

Vielen Dank!

Fail2Ban - einfach nur Klasse! Geht übrigens bei allen Diensten, die am Netzwerkk lauschen. Also stell dir die Konfiguration auch gleich passend für FTP, Mail, etc.pp. ein!
Und das mit dem Port... naja, kein Kommentar. Ihr beide habt Recht. Man kann den aktuellen Port natürlich herausfinden, allerdings sagt Luce auch etwas Richtiges, wenn er sagt, dass die meisten "Hacker" (*hust*) es nur auf dem Standardport versuchen.

naja zumindest installierst du nicht webmin nur um ssh abzusichern xD


MFG
Junk-host

Dann kann ich ja gleich das Passwort bei Google veröffentlichen

Habe jetzt auch den SSH-Port geändert.

Hey Inspi sry das ich jetzt nen bischen gegen dich schießen muss nur wenn ich mir deine Server Hardware plus Absicherung ankucke wird mir speiübel Froxlor nicht modifiziert keine Absicherung gegen ddos u.s.w ich glaube du soltest erst mal an deine eigenende Hardware b.s.w Server ran bevor du hier irgentwelche antworten schreibst !

Yulie ist es schlimm wenn du den Server einfach mal zwei Tage ausmachen würdest und dann mal kucken ob da immer doch gefeuert wird weil meistens sind es Bots die einfach so lange feuern bis das Ziel "Down" ist und weil aus als Down gilt wird der Bot Betreiber dann warscheinlich die Beschüsse ausstellen ansonsten wie oben schon erwähnt wurde fail2ban und am besten noch Denyhosts und iptables die Kombo schafft auf den meisten Systemen mit so ca. 100000 Beschüssen pro Sekunde klar zu kommen und ab dann geht eh jeder "normale" Server in die Knie wenn das alles nichts hilft würde ich mal beim Hoster nachfragen ob sie die besagten ip´s nicht einfach auf die Firewall die vor deinem Server geschaltet ist drauf knallen und am besten die Regeln etwas verschärfen was die ip´s angeht die durchgelassen werden

Hallo,

sicher, jeder Server gibt irgendwann sein Geist auf, es ist nur eine Frage der Anzahl an Angriffen.
Dennoch kann man einen Server gegen Möchtegern-Hackern absichern, wenn man weiß, wie es geht, und wie man bei einem Hacking-Fall reagieren und Handeln soll/muss ...

Jedoch wird es meiner Meinung nach empfohlen, auch ClamAV, Chkrootkit und RKHunter zu installieren, selbst wenn es nicht benötigt wird, eine etwas höhrere Sicherheit bietet es dennoch.