SSH Angriffe

Da ich auf meinem Server von Extern zugreife und ein VPN immer ein gewisser Mehraufwand war, hatte ich bis vor Kurzem den SSH Port auf meinem Server offen und aus sicherheitstechnischen Gründen den Login nur via SSH Key erlaubt und Fail2Ban am Laufen, um etwaige Angriffe zu reduzieren. Zugegeben, ein alter Hut, aber immer wieder etwas, was mich persönlich fasziniert.

Nach einer Nacht Fail2Ban kam jedoch das ernüchterne Ergebnis: 504 Angriffe die von 66 Hosts die eigentlich für den ganzen Mist ziemlich permanent verantwortlich waren – grep, sort und uniq sind dabei ganz hilfreich. Der Kommentar von Kollegen: „Na, waren die Chinesen wieder fleißig?“ brachte mich dann noch dazu, der Sache tiefer auf den Grund zu gehen, da ich solche Pauschal-Aussagen prinzipiell nicht mag.

Ein schnell zusammengezimmertes Script lieferte dann die ernüchternde Auskunft: Über die Hälfte der mich nervenden IPs sind aus China und den angrenzenden Regionen. Zugegeben, das mag jetzt zwar die Aussage des Kollegen stützen, dennoch macht es mich stutzig, dass da so viel Dreck daher kommt, wo doch die chinesische Regierung angeblich so auf draht ist, dass sich deren Bürger brav und korrekt verhalten.

Das Resultat dieser Nacht war wieder einmal das Schließen des SSH Ports, bis mich das VPN wieder nervt, oder ich die Angriffe wieder einmal analysieren sollte – gerade in den Zeiten, wo wieder derart viele Sicherheitslücken mit entsprechendem Ausmaß aufgedeckt werden…

3 Comments

  1. SSH via Key und Fail2Ban sehe ich auch als Pflicht an. Wenn wir in der Firma einen Server anschalten, haben wir ebenfalls sofort „Anmeldeversuche“ aus China und Russland auf den Ports. Was mich immer wundert: Es spielt keine Rolle, ob es sich um Hardwareserver, oder um Kartoffeln mit einem LAN-Port handel, die im Rack kleben. Man versucht alles zu kapern. 🙂

    Auf dem Smartphone nutze ich übrigens Termius. Die App ist (mit Premium-Feature) extrem leistungsfähig und ermöglicht auch die schnelle Serverpflege, wenn ich mal nicht an einen Rechner komme.

  2. Ich finde es auch ziemlich Seltsam was da probiert wird. Hatte auch mal einen Honeypot am Laufen und diverse Sessions protokolliert.

    An Terminus nervt mich leider das Abo-Modell, das ich hingegen bei JuiceSSH nicht habe. Letzteres unterstützt natürlich meine SSH Keys nicht…

  3. Ich nutze Terminus nur am SmartPhone und dort die freie Variante. Das mit den Abos ist mir mittlerweile auch zuviel. 🙂

    Am Rechner nutze ich übrigens MobaXterm. Das hat – neben den normalen Werkzeugen – auch noch eine kleine Linux-Umgebung eingebettet. Zugegeben – seit Windows 10 ebenfalls eine Linux-Subsystem besitzt – ist Letztere nicht mehr ganz so spannend. Sehr mächtig ist es dennoch.

Leave a Reply