Distributed SSH Attacke

Posted on 21.06.2010 by Nufi

Seit nun bald einer Woche füllt sich mein Authentication Log viel schneller als normal. Ich finde sehr interessant, wie genau:

Jun 17 11:28:29 web sshd[3479]: Invalid user export from 173.8.113.235
Jun 17 11:33:49 web sshd[4246]: Invalid user fax1 from 80.153.68.133
Jun 17 11:33:49 web sshd[4248]: Invalid user fabricio from 82.245.104.128
Jun 17 11:35:51 web sshd[4750]: Invalid user federico from 82.239.58.67
Jun 17 11:36:45 web sshd[4840]: Invalid user feedback from 219.95.65.19
Jun 17 11:37:48 web sshd[4931]: Invalid user felipe from 88.149.183.114
Jun 17 11:39:21 web sshd[5061]: Invalid user fep from 190.186.140.227
Jun 17 11:40:25 web sshd[5531]: Invalid user fernanda from 116.228.139.242
Jun 17 11:41:18 web sshd[5552]: Invalid user ff from 79.189.175.82
Jun 17 11:42:13 web sshd[5725]: Invalid user files from 81.174.253.19
Jun 17 11:47:30 web sshd[6383]: Invalid user firewall from 67.18.144.133
Jun 17 11:47:56 web sshd[6397]: Invalid user first from 205.206.57.154
Jun 17 11:49:43 web sshd[6505]: Invalid user fish from 81.142.247.70
Jun 17 11:51:02 web sshd[6970]: Invalid user flyfox from 59.37.44.133
Jun 17 11:51:26 web sshd[6980]: Invalid user ford from 195.5.12.170
Jun 17 11:53:54 web sshd[7185]: Invalid user fm from 200.243.12.2
Jun 17 11:54:10 web sshd[7244]: Invalid user forum from 219.151.4.74
Jun 17 11:57:26 web sshd[7844]: Invalid user fotos from 160.75.15.102
Jun 17 11:59:12 web sshd[7948]: Invalid user francesca from 92.79.130.80
Jun 17 11:59:29 web sshd[7952]: Invalid user francesca from 79.39.158.51
Jun 17 12:01:55 web sshd[10081]: Invalid user forum from 121.34.252.124
Jun 17 12:01:56 web sshd[10084]: Invalid user frank from 94.90.154.12


(zu beobachten unter https://nufer.org/open/)

Was als erstes auffällt, ist, dass nicht nur mit root versucht wird einzuloggen sondern anscheinend eine Liste mit häufigen Benutzernamen verwendet wird.

Zweitens ist auffällig, dass die User zwar in alphabetischer Reihenfolge, aber von unterschiedlichsten IP Adressen aus aufgerufen werden.

Die Gegenmassnahmen, die ich getroffen habe sind folgende:

  • Login nur noch mit rsa Key
  • Log filtern nach dem Muster, IP Adressen nach einem Versuch schon auf der Firewall blocken

Viel Spass beim weiter versuchen….

This entry was posted in Internet, Sicherheit. Bookmark the permalink.

2 Responses to Distributed SSH Attacke

  1. hose says:
    02.08.2010 at 22:56

    die sind ja noch immer am probiererlen… mit dieser kadenz wird es noch jahre dauern bis der dixer durch ist.

  2. Nufi says:
    02.08.2010 at 23:58

    Die Kadenz konnte ich mit der Firewall deutlich bremsen ;)

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>