Hallo Thorsten,
Am Dienstag 21 September 2004 07:27 schrieb Dr. Thorsten Brandau:
Helga Fischer wrote:
ich habe hier logwatch laufen, das sich netterweise durch meine Logs wühlt und besondere Vorkommnisse meldet.
Unter anderem sowas auf meinen ssh-Port:
Mhh. Also fuer mich sieht das so aus, als wollte sich jemand einloggen. Kann es sein, das du dich per dial-up ans netz anschliesst?
Ja, komplett richtig vermutet.
Es ist gut moeglich, das du evtl. noch bei einem DDNS service eingetragen bist du jemand versucht sich einzuloggen - vielleicht ohne boese absicht.
Naja, ich vermute eher einen Automatismus, weil eigentlich fast kein Tag vergeht, daß da irgendeiner aus China oder sonstwo anklopft.
Der ssh-Port ist auf, weil ich halt gelegentlich mal die Linuxbox von außen her brauche und ein paar Erfahrungen mit Rechnern sammeln will, die so am Leben draußen teilnehmen. (root-Login ist unterbunden und die Passwörter machen auch keinen richtigen Spaß).
das mit dem guest wuerde mir aber zu denken geben. Evtl. solltest du deinen SSHD auf einen anderen port legen.
Irgendwann wird sicher auch dieser Port bemerkt, oder? Außerdem weiß ich nicht, ob es wirklich sinnvoll ist, einen Port 'verstecken' zu wollen. Außerdem sollte die Kiste das doch aushalten können, oder?
Helga
Hallo Helga, was Du da siehst ist der Versuch sich über den Port 22 (ssh) auf Dein System einzuloggen. Diese Vorgehensweise ist dabei Standard. Versucht wird immer sich als admin, guest, test etc. einzuloggen. Die IP's aus dem Log (keine IPv6) lösen nicht sauber auf, daher unknown. Das Problem mit ssh Brute Forcing ist bekannt und nimmt zu. Den ssh Port zu verlegen ist sinnvoll. Das scannen der unpriviledged Ports (ab 1024 aufwärts) dauert halt länger und wird auch oft, jedenfalls bezüglich ssh, nicht versucht. Auf jeden Fall hält es den/die Einbrecher doch ziemlich auf. Gescriptete Versuche kommen zu gar keinem Ergebnis, da diese in den meisten Fällen nur Standardports ausprobieren. Die 'Kiste' hält Angriffe auf die Dauer nur aus, wenn der ssh Daemon sauber gewartet wird (immer die neusten Updates einspielen). Root Login auch nicht erlauben. Als Referenz und zur Information mal hier schauen: http://isc.sans.org/diary.php?date=2004-09-11 Gruss, Nico ********************************************************* Unser aktuelles Veranstaltungsangebot finden Sie unter www.probusiness.de/aktuelles Unsere Veranstaltungen im September 2004: - Technologietage am 15. & 16.09.04 in Dresden und Berlin - Tag der offenen Tür am 21.09.04 in Hannover *********************************************************