Hallo Robert,
zum einen kann ich dich beruhigen und dir sagen das solche Angriffe normal sind wenn man einen Server im Netzt betreibt.
Zum anderen kannst du dich Informieren, wie du dich am besten gegen diese Angriffe schützt.
Nun kommt es darauf an, was für einen Server du hast.
Du hast unter anderem folgende Möglichkeiten, dein System sicherer zu machen: - root-login über ssh deaktivieren - login mit passwort generel verbieten und nur über key zulassen - bzw. sehr lange passwörter wählen und für die tägliche Arbeit mit Key arbeiten - falls du Zugriff auf die Firewall des Systems hast, kannst du über Programme Angreifer automatisch blacklisten und speren (das geht aber nicht bei Paravirtualisierung (virtuozo,openvz,Linux-VServer usw.) die bei sehr günstigen hosts eingesetzt werden) - logins nur von bestimmten IPs zulassen (z.B. localhost falls es ein Dienst ist, der nicht extern verfügbar sein muss z.B. mysql) - Sicherheits-Updates einspielem
Bedenke das die Angriffe nicht nur ssh, sondern alle Dienste auf dem System betreffen die extern erreichbar sind.
Hier findest du ein interessantes Paper zu dem Thema: http://www.cisco.com/web/about/security/intelligence/ssh-security.html
Viele Grüße Jens Jährig
On Tue, Mar 23, 2010 at 6:40 PM, Robert punk@streber24.de wrote:
Hi,
ich schau mal grade so in meine Auth.log und seh da zig tausend versuche wie jemand versucht auf meine Console zukommen.
Mar 21 08:39:01 vs2801 CRON[11946]: pam_unix(cron:session): session opened for user root by (uid=0) Mar 21 08:39:01 vs2801 sshd[11865]: Failed password for root from 94.101.82.20 port 49955 ssh2 Mar 21 08:39:01 vs2801 sshd[11989]: error writing /proc/self/oom_adj: Permission denied Mar 21 08:39:01 vs2801 sshd[11989]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=server-94.101.82.20.radore.net.tr user=root Mar 21 08:39:02 vs2801 CRON[11946]: pam_unix(cron:session): session closed for user root Mar 21 08:39:03 vs2801 sshd[11989]: Failed password for root from 94.101.82.20 port 50393 ssh2 Mar 21 08:39:03 vs2801 sshd[12387]: error writing /proc/self/oom_adj: Permission denied Mar 21 08:39:04 vs2801 sshd[12387]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=server-94.101.82.20.radore.net.tr user=root Mar 21 08:39:06 vs2801 sshd[12387]: Failed password for root from 94.101.82.20 port 50761 ssh2 Mar 21 08:39:06 vs2801 sshd[12501]: error writing /proc/self/oom_adj: Permission denied Mar 21 08:39:06 vs2801 sshd[12501]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=server-94.101.82.20.radore.net.tr user=root
und
Mar 22 02:39:51 vs2801 sshd[25138]: Failed password for root from 95.142.42.124 port 60629 ssh2 Mar 22 02:39:51 vs2801 sshd[25183]: error writing /proc/self/oom_adj: Permission denied Mar 22 02:39:51 vs2801 sshd[25117]: Failed password for invalid user guest from 24.8.147.28 port 38841 ssh2 Mar 22 02:39:51 vs2801 sshd[25183]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=95.142.42.124 user=root Mar 22 02:39:51 vs2801 sshd[25222]: error writing /proc/self/oom_adj: Permission denied Mar 22 02:39:53 vs2801 sshd[25222]: Invalid user lauren from 24.8.147.28 Mar 22 02:39:53 vs2801 sshd[25222]: pam_unix(sshd:auth): check pass; user unknown Mar 22 02:39:53 vs2801 sshd[25222]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=c-24-8-147-28.hsd1.co.comcast.net Mar 22 02:39:53 vs2801 sshd[25183]: Failed password for root from 95.142.42.124 port 60837 ssh2 Mar 22 02:39:53 vs2801 sshd[25256]: error writing /proc/self/oom_adj: Permission denied Mar 22 02:39:53 vs2801 sshd[25256]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=95.142.42.124 user=root Mar 22 02:39:54 vs2801 sshd[25222]: Failed password for invalid user lauren from 24.8.147.28 port 38964 ssh2 Mar 22 02:39:55 vs2801 sshd[25309]: error writing /proc/self/oom_adj: Permission denied Mar 22 02:39:55 vs2801 sshd[25256]: Failed password for root from 95.142.42.124 port 32805 ssh2 Mar 22 02:39:55 vs2801 sshd[25330]: error writing /proc/self/oom_adj: Permission denied Mar 22 02:39:56 vs2801 sshd[25330]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=95.142.42.124 user=root Mar 22 02:39:56 vs2801 sshd[25309]: Invalid user maryse from 24.8.147.28 Mar 22 02:39:56 vs2801 sshd[25309]: pam_unix(sshd:auth): check pass; user unknown Mar 22 02:39:56 vs2801 sshd[25309]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=c-24-8-147-28.hsd1.co.comcast.net
das Log ist so 14mb groß mit diesem Zeug.. muss ich mir da Gedanken machen? Wenn ja welche? :)
danke und viele Grüße, Robert
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd