[BraLUG] jemand versucht bei mir virtuell einzubrechen...

[Ingo Schaefer]

Am Montag, den 15.01.2007, 09:18 +0100 schrieb Uwe Berger:

> seit ein paar Tagen beobachte ich, dass, wenn mein Server hinter
> meinem DSL-Router am Netz hängt, jemand permanent versucht via ssh
> einzubrechen. Es wird versucht verschiedene User/Pwd-Kombinationen
> bzw. das root-Pwd durch Ausprobieren (im Sekundentakt) zu erraten.

Das ist normal.

> Bisher ist es ihm noch nicht gelungen. Die IP-Adressen kommen entweder
> aus Frankreich oder Südkorea (lt. whois...).

Wenn es einzelne Adressen sind:
/etc/hosts.deny

> Mein Router ist so konfiguriert, dass nur http, https und ssh auf
> meinen Server dahinter weitergeleitet sind.
> 
> Frage: wie könnte man effektiv darauf reagieren und solche Versuche
> bereits im Ansatz unterbinden, denn irgendwie nervt das (auf meiner
> C3-Serverkiste verbraucht der sshd dabei erhebliche CPU-Last und das
> ständige unmotivierte Blinken der DSL-Leitung geht mir auch auf den
> Wecker...)? 

sshd abschalten oder auf anderen Port legen hilft schon einmal etwas
weiter.

Anzahl maximaler Connections runtersetzen.

Dann: ggfs. mit iptables die Zahl der _neuen_ Verbindungen in einem
Zeitraum (1 Minute?) begrenzen und wenn >3 die IP ganz aussperren.

Oder periodisch log-File parsen und mit /etc/hosts.deny sperren.

Bei uns brachte auch die strikte Ueberpruefung von DNS-Namen einen
Vorteil.

Gruss,
Ingo
-- 
"Milchreis schmeckt hervorragend, wenn man ihn kurz vor dem Verzehr
durch ein saftiges Steak ersetzt."
                                         gefunden bei frag-mutti.de
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Dies ist ein digital signierter Nachrichtenteil
URL         : <https://list.bralug.de/pipermail/bralug/attachments/20070115/04b3091c/attachment.sig>