Einbruchsversuche

Rund um die Sicherheit des Systems und die Applikationen
Herbie
Posts: 5
Joined: 2019-09-03 16:09
 

Einbruchsversuche

Post by Herbie »

Hallo,

ich beobachte auf meinem Server täglich massenhaft Einbruchsversuche. Logwatch berichtet die wie folgt:

message repeated 3 times: [ Failed password for root from 222.186.175.220 port 50460 ssh2] : 1 time(s)
message repeated 2 times: [ Failed password for root from 222.186.3.249 port 13608 ssh2] : 1 time(s)
message repeated 2 times: [ Failed password for root from 222.186.31.127 port 51896 ssh2] : 1 time(s)
message repeated 2 times: [ Failed password for root from 222.186.180.17 port 29238 ssh2] : 1 time(s)
message repeated 2 times: [ Failed password for root from 222.186.31.127 port 27612 ssh2] : 1 time(s)
message repeated 2 times: [ Failed password for root from 222.186.31.204 port 27671 ssh2] : 1 time(s)
message repeated 2 times: [ Failed password for root from 222.186.31.204 port 20497 ssh2] : 1 time(s)
message repeated 2 times: [ Failed password for root from 222.186.31.127 port 47741 ssh2] : 1 time(s)

Mit
sudo iptables -A INPUT -m iprange --src-range 222.168.3.1-222.168.176.255 -j DROP
habe ich versucht zu verhindern, dass Jungs auch China überhaupt auf den Login kommen. Trotzdem gibt es weiter die Versuche wie oben. Warum funktioniert das nicht?
User avatar
Joe User
Project Manager
Project Manager
Posts: 11190
Joined: 2003-02-27 01:00
Location: Hamburg
 

Re: Einbruchsversuche

Post by Joe User »

Deaktiviere den Passwort-Login und verwende stattdessen den Login mittels Keys, das ist insbesondere für den root-Account erheblich sicherer und nebenbei kannst Du dann diese Logzeilen getrost ignoreren.

IPs zu bannen ist immer nur der allerletzte Schritt wenn wirklich nichts anderes mehr hilft, da diese Bans einfach zu umgehen sind.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
ddm3ve
Moderator
Moderator
Posts: 1246
Joined: 2011-07-04 10:56
 

Re: Einbruchsversuche

Post by ddm3ve »

Altes Thema aber aktuelle Frage:
Wenn Passwort authentifizirung deaktiviert ist, was ich pauschal mache:

Kann man die Meldung zu Login Versuche mit Passwort abstellen?
Filtern, ja im Kibana. Aber es machts einfach unübersichtlich und produziert unnötig Datenmüll.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.