Seit nun bald einer Woche füllt sich mein Authentication Log viel schneller als normal. Ich finde sehr interessant, wie genau:
Jun 17 11:28:29 web sshd[3479]: Invalid user export from 173.8.113.235 Jun 17 11:33:49 web sshd[4246]: Invalid user fax1 from 80.153.68.133 Jun 17 11:33:49 web sshd[4248]: Invalid user fabricio from 82.245.104.128 Jun 17 11:35:51 web sshd[4750]: Invalid user federico from 82.239.58.67 Jun 17 11:36:45 web sshd[4840]: Invalid user feedback from 219.95.65.19 Jun 17 11:37:48 web sshd[4931]: Invalid user felipe from 88.149.183.114 Jun 17 11:39:21 web sshd[5061]: Invalid user fep from 190.186.140.227 Jun 17 11:40:25 web sshd[5531]: Invalid user fernanda from 116.228.139.242 Jun 17 11:41:18 web sshd[5552]: Invalid user ff from 79.189.175.82 Jun 17 11:42:13 web sshd[5725]: Invalid user files from 81.174.253.19 Jun 17 11:47:30 web sshd[6383]: Invalid user firewall from 67.18.144.133 Jun 17 11:47:56 web sshd[6397]: Invalid user first from 205.206.57.154 Jun 17 11:49:43 web sshd[6505]: Invalid user fish from 81.142.247.70 Jun 17 11:51:02 web sshd[6970]: Invalid user flyfox from 59.37.44.133 Jun 17 11:51:26 web sshd[6980]: Invalid user ford from 195.5.12.170 Jun 17 11:53:54 web sshd[7185]: Invalid user fm from 200.243.12.2 Jun 17 11:54:10 web sshd[7244]: Invalid user forum from 219.151.4.74 Jun 17 11:57:26 web sshd[7844]: Invalid user fotos from 160.75.15.102 Jun 17 11:59:12 web sshd[7948]: Invalid user francesca from 92.79.130.80 Jun 17 11:59:29 web sshd[7952]: Invalid user francesca from 79.39.158.51 Jun 17 12:01:55 web sshd[10081]: Invalid user forum from 121.34.252.124 Jun 17 12:01:56 web sshd[10084]: Invalid user frank from 94.90.154.12 (zu beobachten unter https://nufer.org/open/)
Was als erstes auffällt, ist, dass nicht nur mit root versucht wird einzuloggen sondern anscheinend eine Liste mit häufigen Benutzernamen verwendet wird.
Zweitens ist auffällig, dass die User zwar in alphabetischer Reihenfolge, aber von unterschiedlichsten IP Adressen aus aufgerufen werden.
Die Gegenmassnahmen, die ich getroffen habe sind folgende:
- Login nur noch mit rsa Key
- Log filtern nach dem Muster, IP Adressen nach einem Versuch schon auf der Firewall blocken
Viel Spass beim weiter versuchen….