ssh brute force attacks
Donnerstag, 1. Oktober 2009 15:32
Das kennt man ja: Irgendwelche Leute lassen einen Angriff auf den SSH-Port laufen. Immer und immer wieder versuchen Sie mit einer Wörterbuch-Attacke das Passwort eines Benutzers, im Regelfall root, zu erraten. Mal ganz davon abgesehen, dass man sich nicht als root einloggen kann, es nervt. Und der Tipp SSH doch auf einem anderen Port laufen zu lassen ist so gut nicht, da gibt es Kunden, die das niemals hinkriegen.
Um diese Nervbolde weg zu drücken leistet mir seit längerer Zeit sshblack gute Dienste.
Aber das ganze hat eine völlig neue Dimension bekommen. Seit Tagen (!) läuft der Angriff nach dem folgenden Schema ab:
- Loginversuch von IP-Adresse – nach mehreren Fehlversuchen verschwindet die Adresse in den Firewall-Regeln -> geblockt
- Pause
- Loginversuch von neuer IP-Adresse -> geblockt
- Pause
- Loginversuch von neuer IP-Adresse -> geblockt
Der Pool von übernommenen Rechnern scheint gegen unendlich zu gehen. Und das sind keinesfalls irgendwelche Maschinen. Neben den normalen Heim-Pcs sind auch häufig durchaus bekannte Adresse dabei. Und das kommt nicht aus Rumänien und Süd-Korea, sondern aus der ganzen Welt.
Wusste ich gar nicht, dass unsere Server so ein unheimliches Interesse auslösen.
Thema: Internet/Computer/Nerd | Kommentare (2) | Autor: Hanke