'Angriff' auf meinen Server. Reicht das alles so?

16/01/2016 - 02:17 von Peter Geher | Report spam
Servus. Seit einigen Tagen versucht jemand in meinen vServer zu kommen.
Der SSH-Server làuft auf Port 65122 (zuvor 65022).
Der muss also lange gesucht haben.

Passwort sowie direktes Root-Login ist Deaktiviert:
Permission denied (publickey).

Im Auth.log entdeckte ich das (HTTP làuft auf 65080, ein öffentlicher
lighttpd auf Port 80):
Jan 15 06:18:34 srv1 sshd[18994]: Did not receive identification string
from 69.162.124.234
Jan 15 06:23:34 srv1 sshd[19055]: Did not receive identification string
from 69.162.124.234
Jan 15 06:25:01 srv1 CRON[19074]: pam_unix(cron:session): session opened
for user root by (uid=0)
Jan 15 06:25:02 srv1 su[19086]: Successful su for www-data by root
Jan 15 06:25:02 srv1 su[19086]: + ??? root:www-data
Jan 15 06:25:02 srv1 su[19086]: pam_unix(su:session): session opened for
user www-data by (uid=0)
Jan 15 06:25:02 srv1 su[19086]: pam_unix(su:session): session closed for
user www-data
Jan 15 06:25:02 srv1 su[19090]: Successful su for www-data by root
Jan 15 06:25:02 srv1 su[19090]: + ??? root:www-data
Jan 15 06:25:02 srv1 su[19090]: pam_unix(su:session): session opened for
user www-data by (uid=0)
Jan 15 06:25:02 srv1 su[19090]: pam_unix(su:session): session closed for
user www-data

MIttlerweile weiß ich, dass das wohl eher als "Harmlos" einzustufen ist.
Dennoch packte es mich und ich habe den Server neu aufgesetzt und dazu
Installierte ich direkt noch Fail2ban mit diesen Einstellungen in der
Config:

bantime = 86400
findtime = 600
maxretry = 3
...
[ssh]
enabled = true
port = ssh,65022,65122
filter = sshd
logpath = /var/log/auth.log
maxretry = 2

Zusàtzlich gab es diese Änderungen in der sshd_config:
von LoginGraceTime 120 auf LoginGraceTime 10
MaxAuthTries 2


Reicht das alles soweit oder gibt es Eurerseits noch 1-12 Tipps? :)


Gruß,
der Peter
 

Lesen sie die antworten

#1 Marc Haber
16/01/2016 - 07:44 | Warnen spam
Peter Geher wrote:
Im Auth.log entdeckte ich das (HTTP làuft auf 65080, ein öffentlicher
lighttpd auf Port 80):



Und was soll da die gefahr sein?

Làuft um 06:25 Uhr Dein cron.daily?

Grüße
Marc
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Ähnliche fragen