Bruteforce-SSH-Attacken aus dem ....

Das kann schneller gehen als man denkt bis man gehackt wurde. Diese SSH Bruteforce Attacken sind im Vergleich zu anderen Aktionen als harmlos zu betrachten. Ursachen für Hacks sind i.d.R. schlecht programmierte PHP Skripte, nicht aktuelle Betriebssysteme, Kernelbugs und halt Forensoftware wie PHPBB usw.
Das sind meinen Erfahrungen nach noch immer die Helfershelfer für Einbrüche in Systeme.
Fail2bann ist auch eine nette Alternative um sich Quälgeister vom Hals zu halten. Man kann natürlich auch sowas wie eine Bandbreitenbegrenzung erstellen, wenn innerhalb kürzester Zeit extrem viel (unerwarteter) Traffic entsteht... die Palette an Möglichkeiten ist riesig

aso, um mißverständnisse wegzuräumen: nein ich wurde (noch) nicht gehackt, es war jediglich ein Hackversuch von der gesagten IP vorangegangen.

Im übrigen heute schon wieder.


Aber sledge hat schon recht. Es ist egal ob Linux/Windows, beide sind potenziell angreifbar.

Sowas gehört leider dazu wenn man einen Server betreibt. Ohne gehackte Server würden wir nicht so ein großes Problem mit SPAM haben oder halt die regelmäßigen Angriffe auf andere Systeme. Da ist es vollkommen egal ob Linux oder Windows wenn keine ausreichenden Sicherheitsmaßnahmen getätigt wurden.

na super.. welche systeme sind davon betroffen?

windows - linux oder beides?

bist nicht der einzige:
am 09.02.2007: 91.121.XXX.XXX (ns38XXX.ovh.net)


gibt wohl sogar schon nen Thread dazu (allerdings im französischen Teil): http://forum.ovh.com/showthread.php?t=14158

würde eher sagen der Server ist gehackt. Kann schonmal passieren.

Sehr gut das wir "back Topic" sind


Das ist nur die Frage, ob und wie solche Attacken (nach einem Hinweis) von der OVH verfolgt werden !

Mehr bezweckt mein 1. Post eigentlich nicht !
Wie man gegen "Bruteforce Attacken" vorgeht, sollte jedem Rootserver- Admin bekannt sein!
Wenn nicht, wäre das noch ein HowTo wert !

.:Nachtrag:.
Es ist nur komisch, das nach Freischaltung (meines 2. Servers bei der OVH) ca. 20 min später zu einer Attacke aus dem OVH Netz gekommen ist!
( Ich hab nach "Übermittlung" der Daten das Root Passwort gleich geändert ! , daher wurde der "Login" verweigert . )

doch, ich schon! ...und ich werde bis zu meinem 108. Lebensjahr immer 'Anfänger' bleiben, weil es einfach unüberschaubar ist, was man alles lernen kann / könnte!

Aber nochmal zurück zu Brieses Beitrag. Bitte berichte uns nach Klärung dann mal, ob es wirklich 'bösartige' Attacken waren, die Angie sicher 'bestrafen' wird
oder ob da welche einfach das Netz und die 'Tester' nach möglichen Sicherheitslücken scannt, was sicher häufig der Fall sein wird.
Wenn wir hier intern ein offenes Scheunentor finden, ist das sicher besser, als wenn der Entdecker von 'draussen' kommt.
Gruß Fritz

richtig Fritz - wir sind ja keine Anfänger mehr

JoeUser hat im wiki.rootforum.de in seiner umfassenden Gentoo Installationsanleitung sehr schön beschrieben, wie man ssh sicher einrichtet.

ich mache immer beides...und natürlich mit einem unprivilegierten User.

Port verschieben ist nicht verkehrt, besser ist aber die Authentifikation per Key.

Das ist klar.
Denke aber mal, dass es für die OVH Interessant ist, da es aus dem OVH Netzt kommt

Das hatte ich bei meinem Testserver auch und nun - wie üblich - den SSH Port verlegt.

OVH.NET

Hallo, in letzter Zeit bemerke ich vermehrte Bruteforce Attacken aus dem OVH.NET
Da ich (unter anderem) IP Blocker gegen SSH Attacken einsetze, konnte ich die IPs , Zeit u.s.w. sichern

Hier zwei Beispiele:

Die kommpletten IP´s und NS- Namen sind an den Kundendienst gegangen.