mehrfache (52x) gescheiterte root einloggversuche, was tun?

[linuxnewbie]

Hi ich habe ein problem, naja eigentlich kein problem, denn auf den server kommt eigentlich keiner druff, da ich nur von einer bestimmten ip connecten kann, aber egal.

ich habe
in den logs heute festgestellt das jemand sich über root per ssh und root per ftp einloggen wollte. es war immer die selbe ip
eine ip von einem belgischen provider
im gesamten habe ich 52 versuche gezählt über einen zeitraum von 40 minuten.

was soll ich machen?

anzeige? provider vom dem informieren? meinen anwalt?

[jayc]

Wenn Du alle aktuellen Pathces eingespielt hast einfach in Ruhe weiterschlafen ... :lol:

[[tom]]

Und damit man ruhiger schlafen kann: Direktes root Login disablen. ;-)

[TOM]

[scythe42]

niemals direktes ssh root login erlauben, immer mit eigenem account rein und das su.

ansonsten ignorieren und weite schlafen gehen....

[linuxnewbie]

ich hab doch im ersten beitrag geschrieben das keiner außer mir auf die kiste kann, der ssh login ist nur von einer ip möglich und diese besitze nur ich ;)

ich mein nur wenn jemand 52 mal versucht auf meine kiste zu kommen, dann is das doch wohl eine attacke und sollte verfolgt werden?

ich kann doch nicht einfach, bloß weil es jemand nicht schafft auf meine kiste zu kommen ihn gewähren lassen womöglich bei anderen erfolg zu haben, bloß weil ich das ignoriert habe.

[[tom]]

ich mein nur wenn jemand 52 mal versucht auf meine kiste zu kommen, dann is das doch wohl eine attacke und sollte verfolgt werden?

Diese Entscheidung ist halt jedem selbst überlassen. ;-)

Mir wär es zu aufwendig, jeden Versuch zu verfolgen. Manchmal soll ja schon eine Mail an den Provider oder Upstream reichen. In Deinem Beispiel scheint das kein Script gewesen zu sein. Vielleicht hat sich einer in der IP geirrt - zumindest kann er sich darauf berufen.

[TOM]

[dopefish]

wenn ssh per paketfilter nur von einer IP zugelassen ist woher weisst du dass derjenige es als root versuchte ;)