Hallo Liste! In letzter Zeit fallen mir auf meiner Box immer wieder folgende Eintraege im /var/log/messages auf: Nov 8 17:46:02 myhost sshd[4735]: Illegal user www from ::ffff:210.233.67.132 Nov 8 17:46:02 myhost sshd[4735]: input_userauth_request: illegal user www Nov 8 17:46:02 myhost sshd[4735]: Failed password for illegal user www from ::ffff:210.233.67.132 port 60258 ssh2 Nov 8 17:46:02 myhost sshd[4735]: Received disconnect from ::ffff:210.233.67.132: 11: Bye Bye Nov 8 17:46:05 myhost sshd[4750]: Failed password for wwwrun from ::ffff:210.233.67.132 port 60299 ssh2 Nov 8 17:46:05 myhost sshd[4750]: Received disconnect from ::ffff:210.233.67.132: 11: Bye Bye Nov 8 17:46:07 myhost sshd[4751]: Illegal user matt from ::ffff:210.233.67.132 Nov 8 17:46:07 myhost sshd[4751]: input_userauth_request: illegal user matt Nov 8 17:46:07 myhost sshd[4751]: Failed password for illegal user matt from ::ffff:210.233.67.132 port 60342 ssh2 Nov 8 17:46:07 myhost sshd[4751]: Received disconnect from ::ffff:210.233.67.132: 11: Bye Bye Nov 8 17:46:09 myhost sshd[4752]: Illegal user test from ::ffff:210.233.67.132 Da ist wohl ein Script Kid am "Start". Was gibt es für mittel gegen solche "Angriffe"? Ich benoetige den Port 22/SSH. D.h. SSH deaktivieren ist keine Option. SSH auf einen anderen Port legen, ist eine Option aber nicht schoen! Mit einem Port Scan waere der neue Port ja auch sichtbar. Hat jemand einen kreativen Tip? Was habe ich bereits gemacht? SSHD ist up to date! Alle unoetigen User geloescht,andere die keinen Login benoetigen (Mail User) habe ich die /bin/false in der /etc/passwd gegeben. Da hätte ich gleich noch eine Frage: Welchen System Benutzer benoetigen den ueberhaupt eine Shell? at, bin, daemon,sshd, nobody (updatdb),stunnel Einen Ansatz hatte ich bereits. Die Wartezeit nach einem Illegal User oder Bad Password von 3 Sekunden auf 15 Sekunden erhoehen. Mit /etc/login.defs und # # Delay in seconds before being allowed another attempt after a login failure # FAIL_DELAY 15 geht das wohl nicht. Wo kann man den Delay editieren? Gruß -Walter P.s. Der Angriff kommt mindestens 3-4 mal am Tag und in kurzer Zeit (1 Min) werden 20-30 User getestet! ---------------------------------------------------------------- Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorized copying, disclosure or distribution of the material in this e-mail is strictly forbidden.