1 |
Hallo. |
2 |
|
3 |
Am Mittwoch, 11. März 2009 schrieb Wolfgang Jankowski: |
4 |
> meine Firewall meldet regelmäßig Einwahlversuche per ssh. Es sind wohl |
5 |
> irgendwelche Einbrecher oder so, die alees austesten. |
6 |
|
7 |
Vermutlich einfache Bots, die auf versehentlich gesetzte Default-Passwörter in |
8 |
alten Distributionen aus sind oder poplige Wörterbuchattacken durchführen. |
9 |
Nichts von Bedeutung. |
10 |
|
11 |
|
12 |
> Wenn ich den Zielrechner mit Pings überdecke, dann hört er nach einer Weile |
13 |
> auf. Versuche ich jedoch einen ssh-login auf seinem Rechner, so ist |
14 |
> *sofort* Ruhe. |
15 |
> Daher meine Frage: gibt es ein Programm, dass nach einigen erfolglosen |
16 |
> Einwahlversuchen seinerseits mit kontrollierten Aktionen reagiert? Ich bin |
17 |
> schliesslich nicht immer in der Nähe und kann die Los sehen. |
18 |
|
19 |
Gegenfrage: |
20 |
Was stört dich an diesen Bots? |
21 |
|
22 |
Hast du Passwörter, die man durch erraten herausfinden kann? Dann ändere |
23 |
diese! |
24 |
Können sich an deinem System Benutzer anmelden die sich eigentlich gar nicht |
25 |
anmelden können? Dann reduziere die SSH-erlaubten Benutzer auf die |
26 |
verwendeten Benutzergruppen. |
27 |
Hast du ein veraltetes System? Dann update. |
28 |
|
29 |
|
30 |
Die Meldung einfacher (aber wenig erfolgversprechender) Verbindungsversuche |
31 |
gehört eigentlich zum Repertiore von Kauf-Firewalls, damit der Benutzer immer |
32 |
schön das Gefühl hat, das Geld richtig investiert zu haben (wo viel gemeldet |
33 |
wird, würde andernfalls ganz bestimmt viel schiefgehen). |
34 |
|
35 |
Das Logfile eines Servers von Gestern (24-Stunden-Zeitraum) sieht z.B. so aus: |
36 |
# grep '\(Failed password for\|no such user\)' /var/log/auth.log|wc -l |
37 |
4090 |
38 |
|
39 |
|
40 |
Oder um konstruktiv zu bleiben: |
41 |
Eine Firewall die sowas melden kann, sollte doch statt der Meldung auf was |
42 |
ausführen können. |
43 |
Die von-hinten-durch-die-Brust-ins-Auge-Methode wäre, die Benachrichtigungs- |
44 |
Mail an eine Adresse zu senden, die bei Maileingang ein Script startet. |
45 |
|
46 |
Alternativ: Logwatch bzw. tenshi sollten doch sowas können. |
47 |
|
48 |
Gruß, Bernd |
49 |
|
50 |
-- |
51 |
OS/2 - Wo ist die andere Hälfte? |