SSH Angriffe

Gedanken scripting sysadmin

Da ich auf meinem Server von Extern zugreife und ein VPN immer ein gewisser Mehraufwand war, hatte ich bis vor Kurzem den SSH Port auf meinem Server offen und aus sicherheitstechnischen Gründen den Login nur via SSH Key erlaubt und Fail2Ban am Laufen, um etwaige Angriffe zu reduzieren. Zugegeben, ein alter Hut, aber immer wieder etwas, was mich persönlich fasziniert.

Nach einer Nacht Fail2Ban kam jedoch das ernüchterne Ergebnis: 504 Angriffe die von 66 Hosts die eigentlich für den ganzen Mist ziemlich permanent verantwortlich waren — grep, sort und uniq sind dabei ganz hilfreich. Der Kommentar von Kollegen: „Na, waren die Chinesen wieder fleißig?“ brachte mich dann noch dazu, der Sache tiefer auf den Grund zu gehen, da ich solche Pauschal‐Aussagen prinzipiell nicht mag.

Ein schnell zusammengezimmertes Script lieferte dann die ernüchternde Auskunft: Über die Hälfte der mich nervenden IPs sind aus China und den angrenzenden Regionen. Zugegeben, das mag jetzt zwar die Aussage des Kollegen stützen, dennoch macht es mich stutzig, dass da so viel Dreck daher kommt, wo doch die chinesische Regierung angeblich so auf draht ist, dass sich deren Bürger brav und korrekt verhalten.

Das Resultat dieser Nacht war wieder einmal das Schließen des SSH Ports, bis mich das VPN wieder nervt, oder ich die Angriffe wieder einmal analysieren sollte — gerade in den Zeiten, wo wieder derart viele Sicherheitslücken mit entsprechendem Ausmaß aufgedeckt werden…

Vorheriger Beitrag Nächster Beitrag