Re: Angriff auf SSH

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Tue, 8 Nov 2005 15:08:43 +0100 (CET)



Ingo Rohlfs <ingo.rohlfs(at)gmx.de> wrote:


 > On Wed, Nov 02, 2005 at 10:35:10AM +0100, Oliver Fromme wrote:


 > > Sebastian Stolz <sebastian.stolz(at)arbeitskammer.de> wrote:


 > > > heute Morgen hatte ich folgende Zeilen ca. 100 mal in meiner periodic


 > > > Statusmail:


 > > 


 > > Es gibt Tage, an denen ich tausende von sshd-Warnmeldungen


 > > von Einbruchsversuchen habe.


 > 


 > Z.B. letzten Sonnabend nachmittag: in ca. eineinhalb Stunden


 > 184000  (EinhundertvierundachzigTAUSEND) Angriffe auf unsere


 > ssh-Dienste!


 > 


 > Da kann einem schon ganz anders werden. Denn das war leider


 > keine Ausnahme.



Ja, das kann schon sehr schwanken.  Speziell exponierte


Rechner sind natürlich besonders gefährdet, etwa IRC-


Server, FTP- oder P2P-Server mit zweifelhaften Inhalten,


beliebte Webserver, Chat-Foren usw.  In solchen Fällen


sollte man wirklich das Logging abschalten, oder nur noch


automatisiert auswerten lassen (z.B. logsurfer) und dann


sofort löschen bzw. wegrotieren.  Zweihunderttausend Log-


einträge helfen einem überhaupt nichts, außer daß sie von


wirklich wichtigen Einträgen ablenken.



Auch bei dynamischen IPs (z.B. Dial-up- oder DSL-Pools)


kann man Pech haben und eine IP erwischen, auf der aus


irgendwelchen Gründen hektische Aktivitäten passieren.



Ich hatte bei einem früheren Provider einmal den Fall,


daß mein Vorgänger offenbar irgendeine P2P-Software lau-


fen hatte (mit illegalem Content, unterstelle ich jetzt


mal), den ich bekam so viele Connect-Versuche (überwiegend


auf dem P2P-Port, aber auch auf 21, 22, 80 und eine hand-


voll weitere, was augenscheinlich Scans oder Einbruchsver-


suche waren), daß die Leitung nahezu unbenutzbar war, ob-


gleich ich keine derartige Software laufen hatte.  Selbst


nach einer halben Stunde ebbten die Versuche nicht ab, so


daß ich gezwungen war, aufzulegen und mich neu zu verbin-


den.  Mit der neuen IP-Adresse war dann alles ruhig.



Gruß


   Olli



-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"The scanf() function is a large and complex beast that often does
something almost but not quite entirely unlike what you desired."
        -- Chris Torek
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Tue 08 Nov 2005 - 15:10:44 CET













search this site