SSH brute force Angriffe sind ja so ziemlich das normalste auf dieser Welt, wenn man einen Rechner am Internet hängen hat auf dem der SSH-Dienst läuft.
So wunderte es mich auch nicht, das ich Angriffe aus Frankreich, Südafrika, Thailand und England zu verzeichnen hatte. Diese fingen ab dem Tag der Bereitstellung meines Servers an und es sah nicht so aus, als ob sie kurz oder mittelfristig aufhören würden.
Insbesondere der Französische Student von der “Universite de Nantes” machte sich sehr verdient und führte mit knapp 4000 fehlgeschlagenen Logins deutlich die Statistik an.
– Da aber nur ein User explizit die Berechtigung hat über SSH auf den Rechner zuzugreifen und dieser Username nicht einmal irgendwo als “Illegal Login” auftauchte (es sei denn, es waren meine eigenen) machte ich mir da nicht so viel Gedanken.
Am 5. Februar fügte ich nun ein kleines SSH-Banner ein, das mir $Jemand gegeben hatte.
Es sagt lediglich folgendes in Deutsch, English und Französisch aus:
“Saemtliche Aktionen auf diesem System werden protokolliert und koennen gerichtlich verwendet werden.
Unerlaubter Zugriff wird strafrechtlich verfolgt.”
(Das Text-File gibts hier: http://kharkerlake.net/ssh-banner.txt)
Nichts wildes eigentlich. Wenn man einem SSH brute force startet, ist einem vorher klar was man da tut und vorhat. Auch, das man sich strafbar macht, wenn man einen gefundenden Login tatsächlich benutzt.
Komisch fand ich nun, das ich seit dem 6. Februar ab 18 Uhr keinerlei SSH-Probes mehr zu verzeichnen habe.
– Ist das Banner wirklich so böse??
Oder haben die Leute nur gemerkt, das da jemand auf dem System ist (“Das System lebt.”) und dieser jemand es versteht sich das SSH-Logfile anzugucken – woraufhin sie ihre Versuche einstellten?
Konnte schonmal jemand das gleiche Phänomen auf einem seiner Server beobachten?
Ich bezweifle mal, dass es grossartig mit dem Banner zu tun hat.
Ein Server den ich betreue hatte letzten Herbst durchschnittlich 200 Versuche von 1-2 verschiedenen IPs pro Nacht. Spitzenwert war ca 4000 Versuche in einer Nacht von einer IP.
War relativ lustig jeden morgen zu schauen woher der Angreifer diesmal kam.
Später habe ich mir die IPs mal näher angeschaut: Hauptsächlich Uni oder Firmenrechner. Auf ca. der Hälfte der Firmenrechner lief ein IRC server, der nicht unbedingt so aussah, als hätte die Firma ihn aufgesetzt. Entweder es handelte sich um komische underground IRC netze oder eventuell auch Botnetze.
Insgesamt denke ich, dass die meisten Angriffe von einer Art Wurm kommen, denn die “Signatur” in den Logs war bei vielen gleich – gleiche Anzahl von Versuchen, gleiche Usernames etc.
Ich habe kein Banner eingefügt oder irgendwelche IPs blockiert aber seit irgendwann Ende Dez/Anfang Jan kommt einfach kaum noch was. An manchen Tagen hab ich schon gedacht mein SSH logt nicht mehr weil ich keine Einträge mehr gesehen hab.
Momentan bin ich schon froh, wenn ich nochmal einen Angriff in der Woche beobachten kann – und selbst der probiert eigentlich nur noch selten mehr als 50 Logins aus…
Ich denke also mal, dass es bei dir eher Zufall war…
Zufall…
SOWAS GIBT ES NICHT!!!!!!!!drölftausend
wie auch immer, es hat aufgehoert und langsam mach ich mir schon echt sorgen. vielleicht hatte dein banner ja auch ne ziemliche breitenwirkung? ;)
der banner ist eine echt gute idee. aber ich habe gerade mal in meine logs geschaut…da sind kaum versuchte angriffe….mmhhh. waren schonmal mehr.