[BraLUG] jemand versucht bei mir virtuell einzubrechen...
Ingo Schaefer
ingo at ingo-schaefer.de
Mo Jan 15 09:41:23 CET 2007
Am Montag, den 15.01.2007, 09:18 +0100 schrieb Uwe Berger:
> seit ein paar Tagen beobachte ich, dass, wenn mein Server hinter
> meinem DSL-Router am Netz hängt, jemand permanent versucht via ssh
> einzubrechen. Es wird versucht verschiedene User/Pwd-Kombinationen
> bzw. das root-Pwd durch Ausprobieren (im Sekundentakt) zu erraten.
Das ist normal.
> Bisher ist es ihm noch nicht gelungen. Die IP-Adressen kommen entweder
> aus Frankreich oder Südkorea (lt. whois...).
Wenn es einzelne Adressen sind:
/etc/hosts.deny
> Mein Router ist so konfiguriert, dass nur http, https und ssh auf
> meinen Server dahinter weitergeleitet sind.
>
> Frage: wie könnte man effektiv darauf reagieren und solche Versuche
> bereits im Ansatz unterbinden, denn irgendwie nervt das (auf meiner
> C3-Serverkiste verbraucht der sshd dabei erhebliche CPU-Last und das
> ständige unmotivierte Blinken der DSL-Leitung geht mir auch auf den
> Wecker...)?
sshd abschalten oder auf anderen Port legen hilft schon einmal etwas
weiter.
Anzahl maximaler Connections runtersetzen.
Dann: ggfs. mit iptables die Zahl der _neuen_ Verbindungen in einem
Zeitraum (1 Minute?) begrenzen und wenn >3 die IP ganz aussperren.
Oder periodisch log-File parsen und mit /etc/hosts.deny sperren.
Bei uns brachte auch die strikte Ueberpruefung von DNS-Namen einen
Vorteil.
Gruss,
Ingo
--
"Milchreis schmeckt hervorragend, wenn man ihn kurz vor dem Verzehr
durch ein saftiges Steak ersetzt."
gefunden bei frag-mutti.de
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 189 bytes
Beschreibung: Dies ist ein digital signierter Nachrichtenteil
URL : <https://list.bralug.de/pipermail/bralug/attachments/20070115/04b3091c/attachment.sig>
Mehr Informationen über die Mailingliste Bralug