Mehrfacher fremder Loginversuch via SSH aus China

[PeterRingler2]

Grüßt euch,

seit gestern Abend habe ich von insgesamt 3 chinesischen IP Loginversuche via SSH mit dem User "root" gehabt, die zwar allesamt nach 3malig falsch angegebenem Passwort blockiert wurden, mir aber dennoch Sorgen bereiten. Ist soetwas bekannt? Ich habe SSH nicht einmal aktiviert. Was kann man außer einer härteren IP-Blockierung noch dagegen machen?

Vielen Dank für Eure Hilfe

Grüße
Peter

 

[Puppetmaster]

Hallo!

Wie kann sich jemand bei dir per SSH anmelden, wenn du das gar nicht aktiviert hast!? -> Das solltest du noch einmal prüfen.
Darüberhinaus müsstest du ja auch Port 22 im Router geöffnet haben, damit das überhaupt geht. -> Ebenfalls prüfen

Ansonsten ist das ein völlig normales Verhalten. Port 22 wird ständig von irgendwem "abgecheckt". Da helfen dann nur sehr starke Passwörter, automatische Blockierung etc. und ggf. den Port gar nicht erst zu öffnen.

 

[PeterRingler2]

Hoi,

danke für die schnelle Antwort. SSH habe ich definitiv nicht aktiviert! Habe aber gestern alles für SFTP eingerichtet und dabei auch den Port 22 freigegeben. Da ich diesen Service aber nicht dauerhaft benötige, werde ich die Weiterleitung einfach wieder deaktivieren. Wenn das Problem damit behoben werden kann, ist das ja recht einfach.

Besten Dank

 

[Puppetmaster]

Wenn du SFTP aktivierst hast du zwangsläufig auch SSH aktiviert.

 

[trininja]

Das mit China, Russland, Thailand, whatever ist bekannt, das ist das natürliche rauschen des Internets. Meistens irgendwelche Kiddies, die versuchen auf Systekme zu kommen anhand von Dictonary Attacken. Ich mach mir da wenig Sorgen.

 

[uma1]

Hallo,
das habe ich auch beobachtet, nachdem ich SFTP aktiviert habe und den Port auf dem Router weitergeleitet habe.
Die DS bekommt "Besuch" vorwiegend aus China, Indian und Russland, einen Franzosen bzw. Ami (NSA??) hatte ich auch schon dabei.
Und wenn du im Syslog der DS schaust, müsstest du sehen, dass die "Angriffe" alle innerhalb einer Minute erfolgen. Ein sicheres Indiz dafür, dass automatische Scripts die gängigen Ports abchecken.
Wie schon erwähnt -> IP-Blocking aktivieren und zwar recht streng, also 4 Versuche in 2min und 100Tage sperren,
-> nur das Port forwarding aktivieren auf dem Router, wenn es tatsächlich benötigt wird
-> strenge FW-Regeln auf der DS konfigurieren -> also nur die Dienste freischalten, die tatsächlich benötigt werden
-> und ggf. den SFTP-Standard-Port 22 auf einen höheren nicht so gängigen Port (irgendwo zwischen 50000-65000) verschieben
-> einen dedizierten FTP-User anlegen mit wenig Berechtigungen -> user Name und PW sollten "komisch" aussehen, also nichts gängiges, wie DS_FTP_user und PW: 1234, sondern einen "nichtssagenden" User und ein Password mit mind. 8 Stellen, Sonderzeichen, Zahlen und Buchstaben (Klein und Groß)
-> wenn es möglich ist, die DS für die Nacht herunterfahren, da die meisten Angriffe sich nach Erfahrung so um 1-2Uhr in der früh ereignen.

Gruß Ulli

 

[jahlives]

@uma1
glaub mir die NSA siehst du nicht in den Logs. Garantiert nicht Die sind einfach drin wenn sie rein wollen.
Den default Port zu verbiegen ist so eine Sache: für mich ist das Security by Obscurity und schützt in etwa soviel wie wenn du den Hausschlüssel nicht unter die Fussmatte sondern unter einen Stein neben der Tür legst ;-)

 

[alexserikow]

ich habe seit ein paar Tagen auch wieder vermehrt die Info "IP xxx wurde blockiert". Ich hatte nun knapp ein Jahr ruhe, jetzt gehts wieder los...

 

[trininja]

Joah, das ist eigentlich normal, ist ja nicht nur ein Kiddie/Botnetz was da abklappert, sondern viele und manchmal hat man lange Zeit Ruhe, da die IP Ranges nicht abgeklappert werden, in der man gerade hockt. Dynamische IPs sind da von Vorteil, da man andauernd in nem anderen Netz sitzt. Ich hab hier täglich 20-30 solcher Scripte an der Haustür, da meine IP sich nicht ändert (Kabel Internet kann manchmal auch nachteilig sein. ) seit 2 Jahren.

Und die NSA, naja, die können viel, aber auch nicht alles, hoffe ich zumindest immer noch, auch wenn mir das Ganze Edward Snowden Enthüllungstheater immer mehr Kopfschmerzen bereitet.