Tobi's Blog
«
»

Angriffe auf SSH-Port

Erstellt von Tobi am Dienstag 16. September 2008

So sonderlich bekannt ist dieser Blog ja eigentlich nicht, aber seit ich meinen eigenen Server betreibe muss ich mit erschrecken feststellen, dass es am Tag mehrere hundert Brute-Force-Angriffe alleine auf den SSH-Port gibt. In den 13 Tagen, in denen der Server online ist, hat die /var/log/auth.log schon 16.000 Zeilen angesammelt. Pro Loginversuch werden 5 Zeilen geschrieben, macht also 3.200 Angriffe. Ich werde das im Auge behalten und mal nach Status-Scripten ausschau halten oder eines selber erstellen, womit die log als Übersichtsstatistik im Web angezeigt werden kann. Dann sehe ich wenigstens, was so alles für Angriffe laufen.

Bezeichnend ist auch, dass die meißten IPs, die ich in der Log gefunden habe, wohl chinesische Firmen (Provider?) sind, die unter der IP auch eine Website betreiben. 58.213.125.25 und 219.234.86.188 z.B. Mal sehen, wie sich das noch entwickelt.

Erstellt am Dienstag 16. September 2008 um 22:32 und abgelegt unter Linux(Ubuntu). Kommentare zu diesen Eintrag im RSS 2.0 Feed. Sie können einen Kommentar schreiben, oder Trackback auf ihrer Seite einrichten.

2 Kommentare zu “Angriffe auf SSH-Port”

  1. timo sagt:
    Dienstag 15. September 2009 um 16:09

    Hi,

    hab dein Blog gefunden, weil ich was über Schreibzugriffe erfahren wollte.
    Hab das hier dann auch entdeckt.
    Hab auch auf meinem Server so viele Anfragen.
    Ich versuch dem ganzen mit fail2ban Herr zu werden.
    Dort hab ich 6 einlogversuche angegeben und dann für ein Jahr IP-Ban vergeben.
    Zusätzlich hab ich noch in der sshd.conf/ssh.conf – weiß nicht mehr genau – angegeben dass root login verboten ist und nur einen machtlosen benutzer als login kandidat angegeben. Arbeite dann einfach mit “su” auf dem System.
    Somit muss der jenige der eindringen möchte schonmal zwei hürden nehmen.
    Das passwort für den ssh Kandidaten ist natürlich lang.
    Evtl hilft dir das ja.

    cu
    timo

  2. Tobi sagt:
    Dienstag 29. September 2009 um 14:28

    Danke, aber das hat sich schon hiermit erledigt.

    Zu Deinen Vorschlägen:

    -Das Bannen der IP für ein Jahr ist etwas zu lang. Kein Angreifer verwendet eine IP sonderlich lange. Die meisten sind Bots, die eh dynamisch alle x-Stunden eine neue haben.

    -Ein Root-Login sollte generell nicht erlaubt sein, von daher ist das ok. Bei Ubuntu, was ich einsetze, ist das vorgegeben. Da gibts nicht mal einen Root-Benutzer.

    Ich weiß nicht, wie fail2ban funktioniert, aber bei einigen Methoden zum Blocken von Angriffen liegt das Problem darin, dass bei einem massiven Angriff der Server erst mal nur mit dem Auswerten und Blocken der Anfragen beschäftigt ist. Bei meiner Servergurke ist da schon bei 20 Versuchen pro Sekunde Schicht und das System reagiert gar nicht mehr auf andere Anfragen.

Kommentar schreiben

XHTML: Sie können diese Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

«
»