Sebastian Stolz <sebastian.stolz(at)arbeitskammer.de> wrote:
> heute Morgen hatte ich folgende Zeilen ca. 100 mal in meiner periodic
> Statusmail:
Es gibt Tage, an denen ich tausende von sshd-Warnmeldungen
von Einbruchsversuchen habe.
Normalerweise gibt es nichts sinnvolles, was man dagegen
tun kann oder muß, vorausgesetzt man hat eine aktuelle SSH
und auch sonst ist alles im grünen Bereich. Also einfach
ignorieren.
(Du könntest versuchen, an abuse@ der Domain bzw. des IP-
Ranges eine Mail zu schicken, aber meistens ist das ver-
gebliche Mühe.)
> Nov 1 01:15:27 srv sshd[75289]: reverse mapping checking getaddrinfo for 216-243-104-187.lobo.net failed - POSSIBLE BREAKIN ATTEMPT!
> Nov 1 01:15:28 srv sshd[75291]: reverse mapping checking getaddrinfo for 216-243-104-187.lobo.net failed - POSSIBLE BREAKIN ATTEMPT!
>
> ist das ein "Problem" und kann ich da irgendwas dagegen
> machen??? Leider kann ich den Port nicht in der Firewall beschränken,
> da ich öffter's Fernwartung per SSH von einer Einwahlleitung machen
> muss.
Die Warnmeldung bedeutet lediglich, daß jemand von der IP-
Adresse 216.243.104.187 versucht hat, sich mit Deinem sshd
zu verbinden. Wenn in der sshd_config VerifyReverseMapping
eingeschaltet ist, macht der sshd erstmal einen Reverse-
Lookup auf die IP-Adresse, und auf das Ergebnis wiederum
einen Lookup, um zu prüfen, daß der Name zur selben Adresse
aufgelöst werden kann. Klappt das nicht -- wie in diesem
Fall -- gibt es obige Warnmeldung im Log. Das kannst Du
ganz einfach selbst nachprüfen:
$ host 216.243.104.187
187.104.243.216.IN-ADDR.ARPA domain name pointer 216-243-104-187.lobo.net
$ host 216-243-104-187.lobo.net
Host not found.
Da der sshd in dem Fall die Verbindung sofort wieder kappt,
besteht keine Gefahr. Der Angreifer kommt nicht einmal bis
zum Login- oder Paßwort-Prompt, kann also auch keinen Wör-
terbuchangriff o.ä. durchführen.
Falls Du den administrativen ssh-Login nur von bestimmten
IP-Adressen (oder IP-Ranges) aus benötigst, wäre es evtl.
eine Überlegung wert, nur diese IPs für Port 22 freizu-
schalten (per IPFW oder PF, oder auch zusätzlich per TCP-
Wrapper hosts_access(5)). Dann hättest Du zumindest noch
einen weiteren Riegel vor der Tür.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "I learned Java 3 years before Python. It was my language of choice. It took me two weekends with Python before I was more productive with it than with Java." -- Anthony Roberts To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Wed 02 Nov 2005 - 10:36:46 CET