| 1 |
Hallo. |
| 2 |
|
| 3 |
Am Mittwoch, 11. März 2009 schrieb Wolfgang Jankowski: |
| 4 |
> meine Firewall meldet regelmäßig Einwahlversuche per ssh. Es sind wohl |
| 5 |
> irgendwelche Einbrecher oder so, die alees austesten. |
| 6 |
|
| 7 |
Vermutlich einfache Bots, die auf versehentlich gesetzte Default-Passwörter in |
| 8 |
alten Distributionen aus sind oder poplige Wörterbuchattacken durchführen. |
| 9 |
Nichts von Bedeutung. |
| 10 |
|
| 11 |
|
| 12 |
> Wenn ich den Zielrechner mit Pings überdecke, dann hört er nach einer Weile |
| 13 |
> auf. Versuche ich jedoch einen ssh-login auf seinem Rechner, so ist |
| 14 |
> *sofort* Ruhe. |
| 15 |
> Daher meine Frage: gibt es ein Programm, dass nach einigen erfolglosen |
| 16 |
> Einwahlversuchen seinerseits mit kontrollierten Aktionen reagiert? Ich bin |
| 17 |
> schliesslich nicht immer in der Nähe und kann die Los sehen. |
| 18 |
|
| 19 |
Gegenfrage: |
| 20 |
Was stört dich an diesen Bots? |
| 21 |
|
| 22 |
Hast du Passwörter, die man durch erraten herausfinden kann? Dann ändere |
| 23 |
diese! |
| 24 |
Können sich an deinem System Benutzer anmelden die sich eigentlich gar nicht |
| 25 |
anmelden können? Dann reduziere die SSH-erlaubten Benutzer auf die |
| 26 |
verwendeten Benutzergruppen. |
| 27 |
Hast du ein veraltetes System? Dann update. |
| 28 |
|
| 29 |
|
| 30 |
Die Meldung einfacher (aber wenig erfolgversprechender) Verbindungsversuche |
| 31 |
gehört eigentlich zum Repertiore von Kauf-Firewalls, damit der Benutzer immer |
| 32 |
schön das Gefühl hat, das Geld richtig investiert zu haben (wo viel gemeldet |
| 33 |
wird, würde andernfalls ganz bestimmt viel schiefgehen). |
| 34 |
|
| 35 |
Das Logfile eines Servers von Gestern (24-Stunden-Zeitraum) sieht z.B. so aus: |
| 36 |
# grep '\(Failed password for\|no such user\)' /var/log/auth.log|wc -l |
| 37 |
4090 |
| 38 |
|
| 39 |
|
| 40 |
Oder um konstruktiv zu bleiben: |
| 41 |
Eine Firewall die sowas melden kann, sollte doch statt der Meldung auf was |
| 42 |
ausführen können. |
| 43 |
Die von-hinten-durch-die-Brust-ins-Auge-Methode wäre, die Benachrichtigungs- |
| 44 |
Mail an eine Adresse zu senden, die bei Maileingang ein Script startet. |
| 45 |
|
| 46 |
Alternativ: Logwatch bzw. tenshi sollten doch sowas können. |
| 47 |
|
| 48 |
Gruß, Bernd |
| 49 |
|
| 50 |
-- |
| 51 |
OS/2 - Wo ist die andere Hälfte? |
Archives