Am Mittwoch, 20. September 2006 14:33 schrieb Tietz, Andre:
Hi LUG
Ich würde mal gern wissen, von was (welches Programm) in /var/log/messages schreibt?
Nach was sieht das für euch aus, es steht in /var/log/messages
-- Sep 18 02:40:20 unicate sshd[17156]: Did not receive identification string from UNKNOWN Sep 18 02:45:13 unicate sshd[17162]: Failed password for root from 70.86.146.130 port 50648 ssh2 Sep 18 02:45:16 unicate sshd[17166]: Failed password for root from 70.86.146.130 port 53165 ssh2 Sep 18 02:45:18 unicate sshd[17170]: Failed password for root from 70.86.146.130 port 54478 ssh2 Sep 18 02:45:21 unicate sshd[17174]: Failed password for root from 70.86.146.130 port 56222 ssh2 Sep 18 02:45:24 unicate sshd[17178]: Failed password for root from 70.86.146.130 port 57852 ssh2 Sep 18 02:45:26 unicate sshd[17182]: Failed password for root from 70.86.146.130 port 59093 ssh2 Sep 18 02:45:36 unicate sshd[17186]: Failed password for root from 70.86.146.130 port 59949 ssh2
Also der 18. war einen Montag. Da ich Dienstag früh raus musste, kann ich das nicht gewesen sein, weil ich im Bett lag ^^ Wer hat hier was versucht? -- A .Tietz
Das wurde vom sshd geschrieben, ähnliches findest Du auch in /var/log/auth.log. $JEMAND (höchstvermutlich ein Script) hat versucht, bei Dir zu connecten und per brute Force Dein root PW zu knacken.
Da man ja sowieso in /etc/ssh/sshd_config "PermitRootLogin no" drinne stehen haben sollte und anständige Passwörter für die Accounts benutzt, mit denen man von aussen connecten darf, sollte es also keine wirkliche Bedrohung sein. Ich habe das eigentlich jeden Tag mindestens einmal, oft von irgendwelchen fernöstlichen IPs. Der bei Dir anklofende Rechner kam ja eher irgendwo aus Dallas/USA.
Lösungsmöglichkeiten: 1. Du könntest den Port Deines sshd verstellen, dann fallen schon mal 99% aller Automatisierten Einbruchsversuche fort. 2. Für Debian gibt es ein Paket namens fail2ban, welches einstellbar nach $x schiefgegangenen Zugriffsversuchen die IP über iptables für einen gewisssen Zeitraum sperrt. 3. Leb damit
Ich hab mich für 2. entschieden
HTH
Robert