# [DUP] Frage zu ssh

## mc-max

Hallo zusammen,

heute habe ich folgendes im auth.log entdeckt:

```

Jun 22 15:03:24 Server sshd[5623]: Invalid user staff from 211.167.89.99

Jun 22 15:03:29 Server sshd[5658]: Invalid user sales from 211.167.89.99

Jun 22 15:03:35 Server sshd[5699]: Invalid user recruit from 211.167.89.99

Jun 22 15:03:39 Server sshd[5756]: Invalid user alias from 211.167.89.99

Jun 22 15:03:44 Server sshd[5795]: Invalid user office from 211.167.89.99

Jun 22 15:03:48 Server sshd[5828]: Invalid user samba from 211.167.89.99

Jun 22 15:03:51 Server sshd[5866]: Invalid user tomcat from 211.167.89.99

Jun 22 15:03:55 Server sshd[5900]: Invalid user webadmin from 211.167.89.99

Jun 22 15:03:59 Server sshd[5938]: Invalid user spam from 211.167.89.99

Jun 22 15:04:03 Server sshd[5977]: Invalid user virus from 211.167.89.99

Jun 22 15:04:08 Server sshd[6014]: Invalid user cyrus from 211.167.89.99

Jun 22 15:04:11 Server sshd[6051]: Invalid user oracle from 211.167.89.99

Jun 22 15:04:14 Server sshd[6079]: Invalid user michael from 211.167.89.99

Jun 22 15:04:23 Server sshd[6133]: Invalid user ftp from 211.167.89.99

Jun 22 15:04:27 Server sshd[6188]: Invalid user test from 211.167.89.99

Jun 22 15:04:31 Server sshd[6226]: Invalid user webmaster from 211.167.89.99

Jun 22 15:04:51 Server sshd[6426]: Invalid user paul from 211.167.89.99

Jun 22 15:05:00 Server sshd[6537]: Invalid user guest from 211.167.89.99

Jun 22 15:05:05 Server sshd[6586]: Invalid user admin from 211.167.89.99

Jun 22 15:05:14 Server sshd[6653]: Invalid user linux from 211.167.89.99

Jun 22 15:05:17 Server sshd[6705]: Invalid user user from 211.167.89.99

Jun 22 15:05:23 Server sshd[6736]: Invalid user david from 211.167.89.99

Jun 22 15:05:27 Server sshd[6798]: Invalid user web from 211.167.89.99

Jun 22 15:05:31 Server sshd[6839]: Invalid user apache from 211.167.89.99

Jun 22 15:05:35 Server sshd[6882]: Invalid user pgsql from 211.167.89.99

Jun 22 15:05:39 Server sshd[6925]: Invalid user mysql from 211.167.89.99

Jun 22 15:05:43 Server sshd[6965]: Invalid user info from 211.167.89.99

Jun 22 15:05:47 Server sshd[6999]: Invalid user tony from 211.167.89.99

Jun 22 15:05:52 Server sshd[7037]: Invalid user core from 211.167.89.99

Jun 22 15:05:56 Server sshd[7074]: Invalid user newsletter from 211.167.89.99

Jun 22 15:06:01 Server sshd[7113]: Invalid user named from 211.167.89.99

Jun 22 15:06:05 Server sshd[7157]: Invalid user visitor from 211.167.89.99

Jun 22 15:06:09 Server sshd[7194]: Invalid user ftpuser from 211.167.89.99

Jun 22 15:06:13 Server sshd[7238]: Invalid user username from 211.167.89.99

Jun 22 15:06:17 Server sshd[7271]: Invalid user administrator from 211.167.89.99

Jun 22 15:06:21 Server sshd[7310]: Invalid user library from 211.167.89.99

Jun 22 15:06:25 Server sshd[7345]: Invalid user test from 211.167.89.99

Jun 22 15:06:39 Server sshd[7476]: Invalid user admin from 211.167.89.99

Jun 22 15:06:43 Server sshd[7503]: Invalid user guest from 211.167.89.99

Jun 22 15:06:52 Server sshd[7574]: Invalid user master from 211.167.89.99

Jun 22 15:07:18 Server sshd[7811]: Invalid user admin from 211.167.89.99

Jun 22 15:07:26 Server sshd[7879]: Invalid user admin from 211.167.89.99

Jun 22 15:07:30 Server sshd[7916]: Invalid user admin from 211.167.89.99

Jun 22 15:07:34 Server sshd[7950]: Invalid user admin from 211.167.89.99

Jun 22 15:07:46 Server sshd[8066]: Invalid user test from 211.167.89.99

Jun 22 15:07:50 Server sshd[8097]: Invalid user test from 211.167.89.99

Jun 22 15:07:54 Server sshd[8136]: Invalid user webmaster from 211.167.89.99

Jun 22 15:07:58 Server sshd[8173]: Invalid user username from 211.167.89.99

Jun 22 15:08:05 Server sshd[8206]: Invalid user user from 211.167.89.99

Jun 22 15:08:12 Server sshd[8301]: Invalid user admin from 211.167.89.99

Jun 22 15:08:17 Server sshd[8340]: Invalid user test from 211.167.89.99

Jun 22 15:08:33 Server sshd[8483]: Invalid user danny from 211.167.89.99

Jun 22 15:08:37 Server sshd[8523]: Invalid user alex from 211.167.89.99

Jun 22 15:08:40 Server sshd[8560]: Invalid user brett from 211.167.89.99

Jun 22 15:08:44 Server sshd[8598]: Invalid user mike from 211.167.89.99

Jun 22 15:08:49 Server sshd[8636]: Invalid user alan from 211.167.89.99

Jun 22 15:08:53 Server sshd[8670]: Invalid user data from 211.167.89.99

Jun 22 15:08:57 Server sshd[8703]: Invalid user www-data from 211.167.89.99

Jun 22 15:09:02 Server sshd[8742]: Invalid user http from 211.167.89.99

Jun 22 15:09:06 Server sshd[8788]: Invalid user httpd from 211.167.89.99

Jun 22 15:09:12 Server sshd[8825]: Invalid user pop from 211.167.89.99

Jun 22 15:09:25 Server sshd[8947]: Invalid user backup from 211.167.89.99

Jun 22 15:09:29 Server sshd[8985]: Invalid user info from 211.167.89.99

Jun 22 15:09:33 Server sshd[9018]: Invalid user shop from 211.167.89.99

Jun 22 15:09:37 Server sshd[9058]: Invalid user sales from 211.167.89.99

Jun 22 15:09:41 Server sshd[9095]: Invalid user web from 211.167.89.99

Jun 22 15:09:45 Server sshd[9140]: Invalid user www from 211.167.89.99

Jun 22 15:09:49 Server sshd[9167]: Invalid user wwwrun from 211.167.89.99

Jun 22 15:09:54 Server sshd[9202]: Invalid user adam from 211.167.89.99

Jun 22 15:09:58 Server sshd[9254]: Invalid user stephen from 211.167.89.99

Jun 22 15:10:03 Server sshd[9287]: Invalid user richard from 211.167.89.99

Jun 22 15:10:06 Server sshd[9338]: Invalid user george from 211.167.89.99

Jun 22 15:10:09 Server sshd[9368]: Invalid user john from 211.167.89.99

Jun 22 15:10:17 Server sshd[9434]: Invalid user angel from 211.167.89.99

Jun 22 15:10:21 Server sshd[9472]: Invalid user games from 211.167.89.99

Jun 22 15:10:25 Server sshd[9509]: Invalid user pgsql from 211.167.89.99

Jun 22 15:10:39 Server sshd[9661]: Did not receive identification string from 211.167.89.99

Jun 22 15:03:24 Server sshd[5623]: Invalid user staff from 211.167.89.99

Jun 22 15:03:29 Server sshd[5658]: Invalid user sales from 211.167.89.99

Jun 22 15:03:35 Server sshd[5699]: Invalid user recruit from 211.167.89.99

Jun 22 15:03:39 Server sshd[5756]: Invalid user alias from 211.167.89.99

Jun 22 15:03:44 Server sshd[5795]: Invalid user office from 211.167.89.99

Jun 22 15:03:48 Server sshd[5828]: Invalid user samba from 211.167.89.99

Jun 22 15:03:51 Server sshd[5866]: Invalid user tomcat from 211.167.89.99

Jun 22 15:03:55 Server sshd[5900]: Invalid user webadmin from 211.167.89.99

Jun 22 15:03:59 Server sshd[5938]: Invalid user spam from 211.167.89.99

Jun 22 15:04:03 Server sshd[5977]: Invalid user virus from 211.167.89.99

Jun 22 15:04:08 Server sshd[6014]: Invalid user cyrus from 211.167.89.99

Jun 22 15:04:11 Server sshd[6051]: Invalid user oracle from 211.167.89.99

Jun 22 15:04:14 Server sshd[6079]: Invalid user michael from 211.167.89.99

Jun 22 15:04:23 Server sshd[6133]: Invalid user ftp from 211.167.89.99

Jun 22 15:04:27 Server sshd[6188]: Invalid user test from 211.167.89.99

Jun 22 15:04:31 Server sshd[6226]: Invalid user webmaster from 211.167.89.99

Jun 22 15:04:51 Server sshd[6426]: Invalid user paul from 211.167.89.99

Jun 22 15:05:00 Server sshd[6537]: Invalid user guest from 211.167.89.99

Jun 22 15:05:05 Server sshd[6586]: Invalid user admin from 211.167.89.99

Jun 22 15:05:14 Server sshd[6653]: Invalid user linux from 211.167.89.99

Jun 22 15:05:17 Server sshd[6705]: Invalid user user from 211.167.89.99

Jun 22 15:05:23 Server sshd[6736]: Invalid user david from 211.167.89.99

Jun 22 15:05:27 Server sshd[6798]: Invalid user web from 211.167.89.99

Jun 22 15:05:31 Server sshd[6839]: Invalid user apache from 211.167.89.99

Jun 22 15:05:35 Server sshd[6882]: Invalid user pgsql from 211.167.89.99

Jun 22 15:05:39 Server sshd[6925]: Invalid user mysql from 211.167.89.99

Jun 22 15:05:43 Server sshd[6965]: Invalid user info from 211.167.89.99

Jun 22 15:05:47 Server sshd[6999]: Invalid user tony from 211.167.89.99

Jun 22 15:05:52 Server sshd[7037]: Invalid user core from 211.167.89.99

Jun 22 15:05:56 Server sshd[7074]: Invalid user newsletter from 211.167.89.99

Jun 22 15:06:01 Server sshd[7113]: Invalid user named from 211.167.89.99

Jun 22 15:06:05 Server sshd[7157]: Invalid user visitor from 211.167.89.99

Jun 22 15:06:09 Server sshd[7194]: Invalid user ftpuser from 211.167.89.99

Jun 22 15:06:13 Server sshd[7238]: Invalid user username from 211.167.89.99

Jun 22 15:06:17 Server sshd[7271]: Invalid user administrator from 211.167.89.99

Jun 22 15:06:21 Server sshd[7310]: Invalid user library from 211.167.89.99

Jun 22 15:06:25 Server sshd[7345]: Invalid user test from 211.167.89.99

Jun 22 15:06:39 Server sshd[7476]: Invalid user admin from 211.167.89.99

Jun 22 15:06:43 Server sshd[7503]: Invalid user guest from 211.167.89.99

Jun 22 15:06:52 Server sshd[7574]: Invalid user master from 211.167.89.99

Jun 22 15:07:18 Server sshd[7811]: Invalid user admin from 211.167.89.99

Jun 22 15:07:26 Server sshd[7879]: Invalid user admin from 211.167.89.99

Jun 22 15:07:30 Server sshd[7916]: Invalid user admin from 211.167.89.99

Jun 22 15:07:34 Server sshd[7950]: Invalid user admin from 211.167.89.99

Jun 22 15:07:46 Server sshd[8066]: Invalid user test from 211.167.89.99

Jun 22 15:07:50 Server sshd[8097]: Invalid user test from 211.167.89.99

Jun 22 15:07:54 Server sshd[8136]: Invalid user webmaster from 211.167.89.99

Jun 22 15:07:58 Server sshd[8173]: Invalid user username from 211.167.89.99

Jun 22 15:08:05 Server sshd[8206]: Invalid user user from 211.167.89.99

Jun 22 15:08:12 Server sshd[8301]: Invalid user admin from 211.167.89.99

Jun 22 15:08:17 Server sshd[8340]: Invalid user test from 211.167.89.99

Jun 22 15:08:33 Server sshd[8483]: Invalid user danny from 211.167.89.99

Jun 22 15:08:37 Server sshd[8523]: Invalid user alex from 211.167.89.99

Jun 22 15:08:40 Server sshd[8560]: Invalid user brett from 211.167.89.99

Jun 22 15:08:44 Server sshd[8598]: Invalid user mike from 211.167.89.99

Jun 22 15:08:49 Server sshd[8636]: Invalid user alan from 211.167.89.99

Jun 22 15:08:53 Server sshd[8670]: Invalid user data from 211.167.89.99

Jun 22 15:08:57 Server sshd[8703]: Invalid user www-data from 211.167.89.99

Jun 22 15:09:02 Server sshd[8742]: Invalid user http from 211.167.89.99

Jun 22 15:09:06 Server sshd[8788]: Invalid user httpd from 211.167.89.99

Jun 22 15:09:12 Server sshd[8825]: Invalid user pop from 211.167.89.99

Jun 22 15:09:25 Server sshd[8947]: Invalid user backup from 211.167.89.99

Jun 22 15:09:29 Server sshd[8985]: Invalid user info from 211.167.89.99

Jun 22 15:09:33 Server sshd[9018]: Invalid user shop from 211.167.89.99

Jun 22 15:09:37 Server sshd[9058]: Invalid user sales from 211.167.89.99

Jun 22 15:09:41 Server sshd[9095]: Invalid user web from 211.167.89.99

Jun 22 15:09:45 Server sshd[9140]: Invalid user www from 211.167.89.99

Jun 22 15:09:49 Server sshd[9167]: Invalid user wwwrun from 211.167.89.99

Jun 22 15:09:54 Server sshd[9202]: Invalid user adam from 211.167.89.99

Jun 22 15:09:58 Server sshd[9254]: Invalid user stephen from 211.167.89.99

Jun 22 15:10:03 Server sshd[9287]: Invalid user richard from 211.167.89.99

Jun 22 15:10:06 Server sshd[9338]: Invalid user george from 211.167.89.99

Jun 22 15:10:09 Server sshd[9368]: Invalid user john from 211.167.89.99

Jun 22 15:10:17 Server sshd[9434]: Invalid user angel from 211.167.89.99

Jun 22 15:10:21 Server sshd[9472]: Invalid user games from 211.167.89.99

Jun 22 15:10:25 Server sshd[9509]: Invalid user pgsql from 211.167.89.99
```

na ja und ich bin nicht sehr glücklich darüber. SSH Zugriff von außen habe ich nur über Public-Key erlaubt also ist jeder, der mehr als einen Versuch zum einlogen braucht, auf dem Rechner nicht erwünsch. 

Gibt es die Möglichkeit eine IP nach, sagen wir, 3 Fehlversuche für eine bestimmte Zeit zu blocken?

danke.

max

----------

## firefly

hmm wie man nach 3 versuchen eine ip sperren kann weis ich nicht.

Aber du könntest einfach den port, auf dem der ssh-deamon lauscht verändern(z.b. auf 2222). Damit würden diese angriffs-versuche nicht mehr im log auftauchen, da diese angriffe meisten den ssh-deamon auf dem standard-port 22 annehmen.

----------

## pir187

automatische sperrung geht z.b. mittels iptables. such mal hier im forum, im wiki oder im englischen networking-teil.

ich habe zwar auch meinen ssh-port zumindest aus sicht des internets auf einen anderen port gelegt (per forwarding im router), dies ist aber als "security by obscurity" anzusehen und nicht wirklich sicher. die sache mit dem sperren der ip ist dagegen eine gute sache. werde ich mir auch bald mal anschauen.

portknocking ist auch nett, da wird der (ssh-)port nur dann geöffnet, wenn vorher eine ganz spezielle reihenfolge von ports angestupst (daran angeklopft) wird. google oder das wiki sind deine freunde!

lg, pir187

----------

## Anarcho

Generell nur 3 Logins pro Minute geht so:

```
# nur 3 logins pro minute ssh

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_WHITELIST

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j ULOG --ulog-prefix SSH_brute_force

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
```

Allerdings schliesst das auch erfolgreiche Versuche mit ein. Der whitelist-teil sieht so aus:

```
# SSH Whitelist

iptables -N SSH_WHITELIST

iptables -A SSH_WHITELIST -s 123.45.67.89 -j ACCEPT     # Verbindungen aus der Arbeit sind OK

iptables -A SSH_WHITELIST -j RETURN     # if the IP wasn't found here then continue normal
```

Falls du nur auf Fehlogins reagieren willst dann musst du wohl ein Programm nehmen was die Logfiles untersucht.

----------

## dakjo

Guckt dir doch mal net-analyzer/portsentry an. 

Und bitte benutz die suchenfunktion. So threads gabs bestimmt schon eintausend mal.

----------

## TheSmallOne

Hm, ist zwar nicht ganz das gewünschte, aber zumindest der Original-SSH-Daemon (also nicht OpenSSH) kennt die Konfigurationsoption "MaxConnections", welche zumindest die Menge an Verbindungen einschränkt. Im Allgemeinen scheint es mit den Attacken dann auch schnell wieder vorbei zu sein.

 *firefly wrote:*   

> Aber du könntest einfach den port, auf dem der ssh-deamon lauscht verändern(z.b. auf 2222). Damit würden diese angriffs-versuche nicht mehr im log auftauchen, da diese angriffe meisten den ssh-deamon auf dem standard-port 22 annehmen.

 

Davon würde ich abraten. Zum einen ist der Port deshalb genormt, dass man eben schneller weiß, um was für eine Verbindung es sich handelt, und zum anderen ist der von dir vorgeschlagene Port m.E. sicherheitskritisch.

Nichtpriviligierte Ports (also über 1024) können von jedem beliebigen Programm geöffnet werden; da muß nur mal unerwartet der SSH Daemon abschmieren und schon kann jemand seinen eigenen Daemon auf dem Port lauschen lassen.

Weiß eigentlich jemand, ob man bei solchen Scan-Versuchen eigentlich schon die Möglichkeit hat gegen solche Leute vorzugehen, oder ob das rechtlich (oder finanziell) nicht möglich ist?Last edited by TheSmallOne on Thu Jun 22, 2006 3:52 pm; edited 1 time in total

----------

## mr_elch

Das Thema hatten wir hier schon öfters:

 :Arrow:  https://forums.gentoo.org/viewtopic-t-348858.html

 :Arrow:  https://forums.gentoo.org/viewtopic-t-364393.html

----------

## amne

Danke mr_elch, als Duplikat geschlossen, alles weitere bitte in den o.g. Threads besprechen.

----------

