was sagt mir das log? :Invalid user apache from 88.80.221.158

[amiga1200]

Nov 13 14:31:43 suse102 sshd[25478]: Invalid user sarah from 88.80.221.158
Nov 13 14:31:43 suse102 sshd[25478]: Invalid user tom from 88.80.221.158
Nov 13 14:31:43 suse102 sshd[25478]: Invalid user apache from 88.80.221.158

User sarah wollte sich über SSH einlogen, und was für ein Passwort?
was ist, wenn es den User sarah gibt?

Wenn ich das mal nachstelle
ich öffne SSH, gebe meine IP ein und als name regen
Nov 14 09:59:39 pc sshd[25109]: Invalid user regen from 195.1xx.xxx.xxx


Dann erate ich das Passwort.

Nov 14 10:00:45 pc sshd[25136]: error: PAM: User not known to the underlying authentication module for illegal user regen from 195.1xx.xxx.xxx
Nov 14 10:00:45 pc sshd[25136]: Failed keyboard-interactive/pam for invalid user regen from 195.1xx.xxx.xxx port 49816 ssh2
2 Versuche habe ich.


Also die Hacker wollen wissen, ob es den User gibt?
dann müssen Sie aber immer noch das PW raus bekommen?
Warum verät SSH dann ohne richtiges PW, ob es den User gibt oder nicht?

[Joe User]

BTW: Die dicke Warnung zu PAM in der sshd_config habt Ihr aber gelesen und verstanden?

[rudelgurke]

Neben "UsePam No" dann noch mit "AllowUsers" weiter einschränken ;)

Solche Log Einträge tauchen dann dennoch auf, automatisierte Bots halt.