[GELOST] tausende Login-Versuche auf meinem Server - muss mich das beunruhigen?

[dusticelli]

Hallo,

 

hat nur indirekt mit Presta zu tun, aber ich habe mich eben mal seit einiger Zeit wieder auf meinem Server als root per SSH eingeloggt, und bekomme die Meldung dass innerhalb von rund 14 Tagen rund 13.000 fehlgeschlagene Loginversuche stattgefunden haben.

 

Innerhalb der letzten 2 Stunden dann immerhin rund 1.000!

 

Uffz!

 

Ist das normal oder sollte mich das beunruhigen, weil irgendwann das Passwort gecknackt sein wird?

 

Wie kann ich mich davor schützen?

 

 

Edited April 18, 2016 by dusticelli (see edit history)

[dusticelli]

Ok, ich entschuldige mich für mein OT placment im Zuge der erstweiligen Erschrockenheit, und beantworte mir diese Frage kurz selbst, um sie dann als gelöst zu schließen:

 

Diese Form von scanning scheint nichts aussergewöhnliches zu sein, und wird in professionellen Kreisen auch liebevoll als "rauschen" (noise) bezeichnet. Dabei handelt es sich vermutlich um automatisierte Zugriffsversuche durch Hacker.

 

Einige der üblichen Abwehrmechanismen sind demnach wohl:

 

- Installation von fail2Ban, ein Programm dass die erfolglosen Zugriffsversuche auf den Server überwacht und entsprechende IPs nach x versuchen ausspert

 

- Verbot des ssh Zugriffs durch den user "root" per Server-Konfiguration (vorher anderen User mit entsprechenen Rechten anlegen!)

 

- Änderung des Standard-Ports 22 auf einen nichtüblichen, z.B. 4321

 

- Einschränkung der Zulässigen User per SSH, etwa Zugriff nur gestatten für User1, User2

 

Dies nur als kurze Info, falls sich jemand mal ähnlich erschreckt wie ich. Das Netz ist voll mit entsprechenden Erklärungen.

[StefanDE]

Hätte jetzt nach dem Titel erstmal gesagt, bestimmt eine Bruteforce Attacke. Aber interessante Wende. 

[dusticelli]

Ja, sowas ist es wohl auch, aber eben wohl mehr oder weniger normal, wenn man einen Server hat. Es werden automatisiert und wiederholt Einlogg-Versuche vorgenommen, in der Hoffnung irgendwann einen Treffer zu landen.

 

Den (üblichen "root") Benutzernamen hat man ja dann schon mal, genauso wie den (üblichen "22") Port.

 

Ich vermute mal, dass ich in meinem jugendlichen Leichtsinn irgendwo vielleicht auch die IP gwpostet habe. Jedenfalls scheint das alte Server-Hasen nicht besonders zu beeindrucken.