1000de Loginversuche via ssh

Die Jul 4 13:17:55 BST 2006

mo <neuwiener at googlemail.com> writes:

> Ich habe soeben in meinem auth.log feststellen müssen, das es heute nacht auf
> meinem Rechner mehrere hundert loginversuche via ssh gab.
> Das ganze hat sich innerhalb einer Stunde abgespielt und die versuche kamen
> alle von ein und derselben IP Adresse.

Wenn Du mitschreibst, bekommst Du ganze Namens- und Wörterbücher
vieler Kulturen frei Haus geliefert.  Das ist doch was?

> Wollt nun Fragen, ob und wie ich Einstellungen vornehmen kann, die einen
> solchen Versuch unterbinden.

Ich würde vor allem unterbinden, dass ein Versuch erfolgreich sein
kann.  Ein ordentlicher SSH muss das abwehren können.  Erkennen kann
ich das hier am gleichmäßigen Zugriffsmuster: Platte, 1 Sekunde
Zwangspause, Platte, ...

Wenn Du Muße hast, kannst einen nmap auf deinen Besucher laufen
lassen.  Kiddie-Rechner sind oft lächerlich gesichert.

Bei so einer Gelegenheit habe ich dem Kid als "root" auf seinem
offenen SMTP-Port eine Mail geschrieben, mich höflich für den Angriff
bedankt, gefragt, wie das Wetter bei ihm in Haiti sei und angekündigt,
ich hätte in seinem Rechner ein kleines Ei hinterlassen.  Er möge sich
also über seltsame Effekte in den nächsten Tagen nicht wundern, das
sei schon richtig so ...

Da war zwar nichts dran, aber das Ding war schnell vom Netz. er hat
sich vermutlich einen Wolf gesucht und sowas macht einfach Spaß.

*eg*

Heike