SSH Kiddies
Jeder der einen, zwei, viele … (Linux/Unix-)Rechner am Netz hängen hat , kennt die, seit ca. einem Jahr sehr massiv auftretenden, Dictionary-basierten Versuche einen funktionierenden SSH-Zugriff zustandezubringen. Bei vernünftig gewählten User/Passwort Kombinationen ist das ja im Prinzip problemfrei.
Mich persönlich stört das nicht sehr und ausserdem kann ich so aus den netfiter-Logs schöne Listen mit Benutznamen generieren, sollt ichs je brauchen 
Um Ruhe in die Logs zu bringen und sowas
Oct 11 22:01:24 xx sshd[00000]: Illegal user staff from ::ffff:200.245.xx.xx
Oct 11 22:01:24 xx sshd[00000]: Failed password for illegal user staff from ::ffff:200.245.xx.xx port 39070 ssh2
aus den Logfiles rauszuhalten, würd mir ja als erstes einfallen, den sshd auf einem anderen Port laufen zu lassen. Damit wären die automatisierten Verbindungsversuche futsch…
Andere Menschen machen sich da positiverweise viel mehr Gedanken:
Protecting Linux against automated attackers
Die meisten Tips (Unnötige Dienste deaktivieren, starke Passwörter etc…) sind wichtig aber “eh kloa”.
Die Softwarelösungen (BlockHosts, Daemonshield und sshdfilter) hams aber in sich.
Im Prinzip beobachten alle drei den sshd (BlockHosts und Daemonshield via syslog und sshdfilter startet den sshd und liest dessen stdout) und wenn (natürlich konfigurierbar) zu viele “böse” Verbindungsversuche aufschlagen, dann wird mittels iptables (bei den ersten beiden) oder hosts.deny (sshdfilter) der schlimme Schurke ausgesperrt.
Im konkreten Fall bringt das IMHO nicht sonderlich viel. Zum einen hab ich bis jetzt, weder beruflich noch privat, erlebt, dass wirklich viele Verbindungen von einer IP-Adresse kommen. Das ist im Zeitalter von grossen Botnets auch kein Wunder. Zum anderen muss man beim Konfigurieren von Zeitfenstern u.ä. ziemlich aufpassen um sich nicht selbst gehörig in den Fuß zu schiessen.
BTW:
Warum ist unnötiges Zeug in letzter Zeit fast immer in Python verfasst und hat die Sprache das verdient?
Wahrscheinlich schon!
