Angriffe auf den SSH-Port

Vor einigen Wochen hatte ich letztmalig über Angriffe auf den SSH-Port geschrieben. Die meisten Angriffe erfolgte aus dem Netz der STRATO AG. In den folgenden Tagen habe ich STRATO jeden Tag eine Mail mit den IP-Adressen der Angreifer an abuse-server ( at ) strato.de geschickt. Lange Zeit hat sich nichts getan.

Erst nach über zwei Wochen wurde einmalig ein Eingang bestätigt. Ein Hinweis über das Kontaktformular wurde schneller beantwortete; allerdings war die Antwort nicht sonderlich hilfreich. Es wurde auf fail2ban verwiesen und darauf hingewiesen, dass die Sensoren von STRATO derartige Angriffe und Server recht „schnell“ entdecken. Bis heute habe ich insgesamt ich 31 IP-Adressen gesammelt. Im Maximum griffen mich an einem Tag 15 Server aus dem STRATO Netzwerk an. Zwei Server konnten ihre Angriffe 12 und 13 Tage ungestört ausüben. Drei Server blieben immerhin 5 bzw. 6 Tage am Netz. Mag sein, dass STRATO und ich in diesem Fall eine unterschiedliche Auffassung von „schnell“ haben. Der größte Teil der Server taucht allerdings nur ein oder zwei Tage im Log auf. Letzteres mag auch daran liegen, dass die Angriffen über den Tageswechsel liefen und zwar kurz, aber an zwei Tagen stattfanden. Der Aufwand einer genaueren Untersuchung lohnt allerdings nicht. Ich wüsste nichts sinnvolles mit dem Ergebnis anzufangen. Wenn der Großteil der Angriffe kürzer als 48 Stunden dauert ist es auch schon gut. Fünf oder gar zwölf Tage finde ich nicht akzeptabel.

Zwischen manchen Angriffen vergingen auch mehrere Tage, so dass mir nicht ganz klar ist, ob der Angriff vom gleichen Server ausgeht oder ein bereinigter Server wieder in falsche Hände gefallen ist.

Die Ungeduldigen

Die ungeduldigen Angreifer versuchen es einige Hundert Mal pro Tag. Besonders ungeduldige über 1.000 Mal. Alles viel zu auffällig. Dagegen könnte ich fail2ban einsetzen. Aber ich verlasse mich lieber auf sichere Passwörter oder schränke die Möglichkeit des Login auf bestimmte User und IP Adressbereiche ein.

Der Geduldige

Ganz nebenbei fand ich einen extrem geduldigen Kameraden aus China (IP 125.88.75.199); er versucht es im Schnitt alle 20 Stunden mit einem einzigen Login. Sein Angriff kann bis zum Erfolg zwar sehr lange dauern, aber er bewegt sich im Rauschen und wird leicht übersehen. Es könnte sein, dass es es schon seit Monaten versucht. Mechanismen, die brute force attacks erkennen sollen, greifen bei diesem Verhalten nicht.

Gegenmaßnahmen: Keine! Warum? Gegen sichere Passwörter und eingeschränkte Nutzer (AllowUsers in der sshd_config) hat er keine Chance.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.