Hallo Leute, ich hänge mit T-DSL rund um die Uhr am Internet und habe einen Eintrag bei dyndns.org. In letzter Zeit sehe ich des öfteren Brute-Force-Wörterbuch Attacken auf meinen SSH-Server. In /var/log/messages sieht das folgendermaßen aus: ... Jul 14 21:48:12 spacehawk sshd[10630]: Invalid user adm from ::ffff:212.58.192.29 Jul 14 21:48:13 spacehawk sshd[10632]: Invalid user adm from ::ffff:212.58.192.29 Jul 14 21:48:15 spacehawk sshd[10634]: Invalid user adm from ::ffff:212.58.192.29 Jul 14 21:48:16 spacehawk sshd[10636]: Invalid user adm from ::ffff:212.58.192.29 Jul 14 21:48:17 spacehawk sshd[10638]: Invalid user adm from ::ffff:212.58.192.29 Jul 14 21:48:18 spacehawk sshd[10640]: Invalid user adm from ::ffff:212.58.192.29 Jul 14 21:48:19 spacehawk sshd[10642]: Invalid user adm from ::ffff:212.58.192.29 Jul 14 21:48:20 spacehawk sshd[10644]: Invalid user adm from ::ffff:212.58.192.29 Jul 14 21:48:21 spacehawk sshd[10646]: Invalid user student from ::ffff:212.58.192.29 ... Jul 14 21:48:28 spacehawk sshd[10658]: Invalid user service from ::ffff:212.58.192.29 ... Jul 14 21:48:34 spacehawk sshd[10670]: Invalid user test from ::ffff:212.58.192.29 ... Jul 14 21:48:40 spacehawk sshd[10680]: Invalid user user from ::ffff:212.58.192.29 ... Jul 14 21:48:48 spacehawk sshd[10694]: Invalid user guest from ::ffff:212.58.192.29 ... Jul 14 21:48:56 spacehawk sshd[10708]: User mysql from 212.58.192.29 not allowed because not listed in AllowUsers ... usw. usw. Durch das Logfile könnte ich mich wahrscheinlich mehrere Tage scrollen. Obwohl ich mich noch relativ sicher fühle, da ich nicht glaube, dass es hier jem. speziell auf mich abgesehen hat, habe ich einige Fragen. 1. "from ::ffff:212.58.192.29" Das ist doch eine IPv6-Adresse, oder? Oder wofür steht das ::ffff: ? 2. Gibt's mit SUSE 9.3 irgendwelche Standardtools mit denen solche offensichtlichen Attacken blockiert werden können? Z.B. wäre es schön, wenn die Firewall nach sagen wir 20 fehlgeschlagen Login Versuchen (ssh) von der gleichen IP-Adresse, sämtliche weiteren Anfragen von der jeweiligen IP-Adresse für einen Tag von vornherein blockiert! Da gibt's doch bestimmt schon entsprechende Sicherheitssoftware in der Richtung, oder? Was sagen die Admins unter euch? 3. Irgendwelche Vorschläge bzw. Maßnahmen die ihr mir empfehlen könnt? Vielen Dank im Voraus, Jörg