Brute Force Attacke auf meinen SSHD?

[Florian Lohoff]

On Sat, Sep 03, 2005 at 03:11:48PM +0200, David C. Weichert wrote:
> Als ich über jnettop feststellte, dass der sshd den traffic erzeugte,
> habe ich den erstmal gestoppt. Damit war der traffic weg und alles sieht
> erstmal normal aus. (Bis jetzt läuft der daemon auch nicht wieder).

hosts.allow und nur die notwendigen addressen/netze zulassen. Besser nur
ein /16 oder aehnliches zulassen - Damit hast du die moeglichen user
massiv eingeschraenkt.

> Die IP von der ich glaube, dass das kam lautet: 69.44.157.22
> und DNS löste zu dem Zeitpunkt als alphadelts.net auf.
> 
> War das, was ich denke: eine brute force Attacke, um über ssh auf diesen
> Rechner zu kommen? Besteht die Möglichkeit, dass ein Einbruch
> stattgefunden hat? Welche weitere security Maßnahmen kann ich

Ich sehe solcherlei attacken seit etwa 1 1/2 Jahren auf diversen meiner
Maschinen. Das einzige was sinnvollerweise hilft ist den ssh port nur
von notwendigen addressen zu oeffnen.

Einbruch koennte schon sein. Hast du user mit gaengigen namen und wenn
ja haben die wenigstens "gute" passwoerter oder nur username ==
password?

> sinnvollerweise treffen? Sollte man den Vorfall irgendwo zur Kenntnis
> bringen?

Aussichtslos.

> Am Ende der Mail habe ich noch einen Auszug aus meinem auth.log, der
> vielleicht Hinweise liefert.

Typischer zustand.

Flo
-- 
Florian Lohoff                  flo at rfc822.org             +49-171-2280134
                        Heisenberg may have been here.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: Digital signature
URL: <http://lug-owl.de/pipermail/linux/attachments/20050907/c636a4e5/attachment.sig>