+- Sponsor-Board.de (https://www.sponsor-board.de)
+-- Forum: Community (/forumdisplay.php?fid=56)
+--- Forum: Hilfe (/forumdisplay.php?fid=102)
+---- Forum: Linux-Server (/forumdisplay.php?fid=105)
+---- Thema: Ungewöhnliche SSH-Anmeldeversuche (/showthread.php?tid=36713)
Ungewöhnliche SSH-Anmeldeversuche - Yulie - 11.03.2013 18:35
Hallo,
seit zwei Tagen läuft nun mein zweiter Server wie gewohnt, keinerlei Probleme oder ähnliches, jedoch steht in der /var/log/auth.log, dass es mehr als 5.000 fehlgeschlagene Anmeldeversuche von mehreren IP-Adressen aus Deutschland (Webtropia) und einige aus dem Ausland gibt.
Ausländische Möchtegern-Hacker hat denke ich mal jeder, aber 8 verschiedene Deutsche IP-Adressen von Webtropia, Hetzner und Co?
Ich bin kurz davor Strafanzeige gegen diese IP-Adressen zu erstatten, da mein SSH-Dienst manchmal abstürzt ...
Was meint ihr dazu?
RE: Ungewöhnliche SSH-Anmeldeversuche - NevaKee - 11.03.2013 18:39
Läuft SSH auf Port 22?
Wenn ja, dann ist es, meiner Meinung nach, selbst schuld.
Port ändern und fail2ban installieren, schon ist ruhe.
RE: Ungewöhnliche SSH-Anmeldeversuche - Yulie - 11.03.2013 18:40
Hallo,
das ändern des Ports macht auch wenig Sinn, da man es z.B. über nmap auslesen kann, welche Ports letzendlich offen sind. Und an fail2ban habe ich noch garnicht gedacht, ich werde mal schauen.
RE: Ungewöhnliche SSH-Anmeldeversuche - NevaKee - 11.03.2013 18:47
Gefühlt 99,9% der Bots probieren aber nur den Standard-Port.
fail2ban hat bei mir mit geänderten SSH Port noch nie Alarm geschlagen, außer bei selbst verschuldeten Versuchen.
RE: Ungewöhnliche SSH-Anmeldeversuche - Yulie - 11.03.2013 18:49
Hallo,
habe es eben gerade installiert, und es klappt.
Bisher wurden 4 IP-Adressen gesperrt o.O
Den SSH-Port werde ich nun auch ändern.
Vielen Dank!
RE: Ungewöhnliche SSH-Anmeldeversuche - Dream-Code - 11.03.2013 18:54
Fail2Ban - einfach nur Klasse! Geht übrigens bei allen Diensten, die am Netzwerkk lauschen. Also stell dir die Konfiguration auch gleich passend für FTP, Mail, etc.pp. ein!
Und das mit dem Port... naja, kein Kommentar. Ihr beide habt Recht. Man kann den aktuellen Port natürlich herausfinden, allerdings sagt Luce auch etwas Richtiges, wenn er sagt, dass die meisten "Hacker" (*hust*) es nur auf dem Standardport versuchen.
RE: Ungewöhnliche SSH-Anmeldeversuche - Junk-Host - 11.03.2013 19:00
naja zumindest installierst du nicht webmin nur um ssh abzusichern xD
MFG
Junk-host
RE: Ungewöhnliche SSH-Anmeldeversuche - Yulie - 11.03.2013 19:05
Junk-Host schrieb:
naja zumindest installierst du nicht webmin nur um ssh abzusichern xD
MFG
Junk-host
MFG
Junk-host
Dann kann ich ja gleich das Passwort bei Google veröffentlichen 
Habe jetzt auch den SSH-Port geändert.
RE: Ungewöhnliche SSH-Anmeldeversuche - Nextgen-Hosting - 11.03.2013 19:07
Hey Inspi sry das ich jetzt nen bischen gegen dich schießen muss nur wenn ich mir deine Server Hardware plus Absicherung ankucke wird mir speiübel Froxlor nicht modifiziert keine Absicherung gegen ddos u.s.w ich glaube du soltest erst mal an deine eigenende Hardware b.s.w Server ran bevor du hier irgentwelche antworten schreibst !
Yulie ist es schlimm wenn du den Server einfach mal zwei Tage ausmachen würdest und dann mal kucken ob da immer doch gefeuert wird weil meistens sind es Bots die einfach so lange feuern bis das Ziel "Down" ist und weil aus als Down gilt wird der Bot Betreiber dann warscheinlich die Beschüsse ausstellen ansonsten wie oben schon erwähnt wurde fail2ban und am besten noch Denyhosts und iptables die Kombo schafft auf den meisten Systemen mit so ca. 100000 Beschüssen pro Sekunde klar zu kommen und ab dann geht eh jeder "normale" Server in die Knie wenn das alles nichts hilft würde ich mal beim Hoster nachfragen ob sie die besagten ip´s nicht einfach auf die Firewall die vor deinem Server geschaltet ist drauf knallen und am besten die Regeln etwas verschärfen was die ip´s angeht die durchgelassen werden
RE: Ungewöhnliche SSH-Anmeldeversuche - Yulie - 11.03.2013 19:11
Hallo,
sicher, jeder Server gibt irgendwann sein Geist auf, es ist nur eine Frage der Anzahl an Angriffen.
Dennoch kann man einen Server gegen Möchtegern-Hackern absichern, wenn man weiß, wie es geht, und wie man bei einem Hacking-Fall reagieren und Handeln soll/muss ...
Jedoch wird es meiner Meinung nach empfohlen, auch ClamAV, Chkrootkit und RKHunter zu installieren, selbst wenn es nicht benötigt wird, eine etwas höhrere Sicherheit bietet es dennoch.
RE: Ungewöhnliche SSH-Anmeldeversuche - Nextgen-Hosting - 11.03.2013 19:54
wenn du 4000 angriffe bekommen hast sind das sicher keine Kinder aber ok du must ja meine Meinung nicht berügsichtigen
RE: Ungewöhnliche SSH-Anmeldeversuche - Yulie - 11.03.2013 20:00
twinkie schrieb:
wenn du 4000 angriffe bekommen hast sind das sicher keine Kinder aber ok du must ja meine Meinung nicht berügsichtigen
Was hat das jetzt bitte mit der Meinung zu tun?
Es ist doch meine Sache wie ich meinen Server absichere, und nicht deins!
Dich hat hier niemand nach deiner Meinung gefragt "Wie sichert das Kind Yulie seinen Server ab" ...