Am Di, den 09.11.2004 schrieb Walter um 10:18:
Hallo Liste!
In letzter Zeit fallen mir auf meiner Box immer wieder folgende Eintraege im /var/log/messages auf:
Nov 8 17:46:02 myhost sshd[4735]: Illegal user www from ::ffff:210.233.67.132 Nov 8 17:46:02 myhost sshd[4735]: input_userauth_request: illegal user www Nov 8 17:46:02 myhost sshd[4735]: Failed password for illegal user www from ::ffff:210.233.67.132 port 60258 ssh2 Nov 8 17:46:02 myhost sshd[4735]: Received disconnect from ::ffff:210.233.67.132: 11: Bye Bye Nov 8 17:46:05 myhost sshd[4750]: Failed password for wwwrun from ::ffff:210.233.67.132 port 60299 ssh2 Nov 8 17:46:05 myhost sshd[4750]: Received disconnect from ::ffff:210.233.67.132: 11: Bye Bye Nov 8 17:46:07 myhost sshd[4751]: Illegal user matt from ::ffff:210.233.67.132 Nov 8 17:46:07 myhost sshd[4751]: input_userauth_request: illegal user matt Nov 8 17:46:07 myhost sshd[4751]: Failed password for illegal user matt from ::ffff:210.233.67.132 port 60342 ssh2 Nov 8 17:46:07 myhost sshd[4751]: Received disconnect from ::ffff:210.233.67.132: 11: Bye Bye Nov 8 17:46:09 myhost sshd[4752]: Illegal user test from ::ffff:210.233.67.132
Da ist wohl ein Script Kid am "Start". Was gibt es für mittel gegen solche "Angriffe"? Ich benoetige den Port 22/SSH. D.h. SSH deaktivieren ist keine Option. SSH auf einen anderen Port legen, ist eine Option aber nicht schoen! Mit einem Port Scan waere der neue Port ja auch sichtbar.
Hat jemand einen kreativen Tip?
Da wirst du wenig machen können außer du baust dir, wie vor einiger Zeit in der C`t beschrieben, Portknocking ein. Horch, wer kommt von draußen rein... Portknocking als Sicherheitskonzept unter Linux C`t 14/04, Seite 206 Dann ist das Ding dicht bis eine von dir bestimmt reihenfolge an Port "knocks" gemacht wurde.
Gruß
-Walter
Gruß Daniel -- Daniel Hanke Linux/Unix Systemadministrator, RHCE windream GmbH - Wasserstrasse 219 - 44799 Bochum Telefon +49 234 9734 0 - Telefax +49 234 9734 520 http://www.windream.com