Kommentare zu: No more SSH brute force attacks? /blog/no-more-ssh-brute-force-attacks/ Hier steht mal irgendwann ein toller Titel. Fri, 13 Apr 2012 12:58:14 +0000 hourly 1 http://wordpress.org/?v=3.2.1 Von: xsteadfastx /blog/no-more-ssh-brute-force-attacks/#comment-1552 xsteadfastx Sun, 12 Feb 2006 09:28:55 +0000 http://michik.net/amishgeeks/blog/no-more-ssh-brute-force-attacks/#comment-1552 der banner ist eine echt gute idee. aber ich habe gerade mal in meine logs geschaut...da sind kaum versuchte angriffe....mmhhh. waren schonmal mehr. der banner ist eine echt gute idee. aber ich habe gerade mal in meine logs geschaut…da sind kaum versuchte angriffe….mmhhh. waren schonmal mehr.

]]>
Von: creeper /blog/no-more-ssh-brute-force-attacks/#comment-1547 creeper Fri, 10 Feb 2006 08:03:35 +0000 http://michik.net/amishgeeks/blog/no-more-ssh-brute-force-attacks/#comment-1547 wie auch immer, es hat aufgehoert und langsam mach ich mir schon echt sorgen. vielleicht hatte dein banner ja auch ne ziemliche breitenwirkung? ;) wie auch immer, es hat aufgehoert und langsam mach ich mir schon echt sorgen. vielleicht hatte dein banner ja auch ne ziemliche breitenwirkung? ;)

]]>
Von: Khark /blog/no-more-ssh-brute-force-attacks/#comment-1544 Khark Thu, 09 Feb 2006 21:27:22 +0000 http://michik.net/amishgeeks/blog/no-more-ssh-brute-force-attacks/#comment-1544 Zufall... SOWAS GIBT ES NICHT!!!!!!!!drölftausend Zufall…
SOWAS GIBT ES NICHT!!!!!!!!drölftausend

]]>
Von: creeper /blog/no-more-ssh-brute-force-attacks/#comment-1542 creeper Thu, 09 Feb 2006 08:30:25 +0000 http://michik.net/amishgeeks/blog/no-more-ssh-brute-force-attacks/#comment-1542 Ich bezweifle mal, dass es grossartig mit dem Banner zu tun hat. Ein Server den ich betreue hatte letzten Herbst durchschnittlich 200 Versuche von 1-2 verschiedenen IPs pro Nacht. Spitzenwert war ca 4000 Versuche in einer Nacht von einer IP. War relativ lustig jeden morgen zu schauen woher der Angreifer diesmal kam. Später habe ich mir die IPs mal näher angeschaut: Hauptsächlich Uni oder Firmenrechner. Auf ca. der Hälfte der Firmenrechner lief ein IRC server, der nicht unbedingt so aussah, als hätte die Firma ihn aufgesetzt. Entweder es handelte sich um komische underground IRC netze oder eventuell auch Botnetze. Insgesamt denke ich, dass die meisten Angriffe von einer Art Wurm kommen, denn die "Signatur" in den Logs war bei vielen gleich - gleiche Anzahl von Versuchen, gleiche Usernames etc. Ich habe kein Banner eingefügt oder irgendwelche IPs blockiert aber seit irgendwann Ende Dez/Anfang Jan kommt einfach kaum noch was. An manchen Tagen hab ich schon gedacht mein SSH logt nicht mehr weil ich keine Einträge mehr gesehen hab. Momentan bin ich schon froh, wenn ich nochmal einen Angriff in der Woche beobachten kann - und selbst der probiert eigentlich nur noch selten mehr als 50 Logins aus... Ich denke also mal, dass es bei dir eher Zufall war... Ich bezweifle mal, dass es grossartig mit dem Banner zu tun hat.

Ein Server den ich betreue hatte letzten Herbst durchschnittlich 200 Versuche von 1-2 verschiedenen IPs pro Nacht. Spitzenwert war ca 4000 Versuche in einer Nacht von einer IP.
War relativ lustig jeden morgen zu schauen woher der Angreifer diesmal kam.
Später habe ich mir die IPs mal näher angeschaut: Hauptsächlich Uni oder Firmenrechner. Auf ca. der Hälfte der Firmenrechner lief ein IRC server, der nicht unbedingt so aussah, als hätte die Firma ihn aufgesetzt. Entweder es handelte sich um komische underground IRC netze oder eventuell auch Botnetze.
Insgesamt denke ich, dass die meisten Angriffe von einer Art Wurm kommen, denn die “Signatur” in den Logs war bei vielen gleich – gleiche Anzahl von Versuchen, gleiche Usernames etc.

Ich habe kein Banner eingefügt oder irgendwelche IPs blockiert aber seit irgendwann Ende Dez/Anfang Jan kommt einfach kaum noch was. An manchen Tagen hab ich schon gedacht mein SSH logt nicht mehr weil ich keine Einträge mehr gesehen hab.
Momentan bin ich schon froh, wenn ich nochmal einen Angriff in der Woche beobachten kann – und selbst der probiert eigentlich nur noch selten mehr als 50 Logins aus…

Ich denke also mal, dass es bei dir eher Zufall war…

]]>