| |
| |||||||
Diskussionsforum: [CentOS][Fail2ban]SSH-Attacke von Strato-Dedicated-IP: Lohnt sich das Melden?Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
27.06.2013, 07:23
| #1 |
 | ![[CentOS][Fail2ban]SSH-Attacke von Strato-Dedicated-IP: Lohnt sich das Melden? - Frage](images/icons/icon5.gif){kind=icon} [CentOS][Fail2ban]SSH-Attacke von Strato-Dedicated-IP: Lohnt sich das Melden? Hallo, ich administriere einen root-Server mit CentOS, auf dem als BruteForce-Schutz Fail2Ban läuft - und das eigentlich ziemlich gut. Fail2ban übermittelt alle gebannten IP's an Blocklist.de und an mich, zu Debuggingzwecken. Seit einiger Zeit jetzt schon kriege ich regelmäßig Meldungen zu IP-Adressen von Strato - aus deren Dedicated-Server-IP-Range, und angesichts der Logfiles kann ich nicht behaupten, dass dies False Positives wären. Da werkelt also meines Erachtens entweder ein Blackhat oder ein Bot - und ich weiß nicht, was wahrscheinlicher und was besorgniserregender ist - im Rechenzentrum von Strato. Logwatch bestätigt mir die fehlgeschlagenen Loginversuche per SSH ebenfalls: Fünf pro Tag, von derselben IP, danach macht Fail2ban für 24 Stunden für die IP alles bei uns dicht. Tags darauf wieder dasselbe Spiel - es passiert also nix seitens Strato, obwohl ja Blocklist.de abuse-reports an die Serverbetreiber schickt - und ich bin nicht der einzige, der diese IP an blocklist.de sendet. Mir ist schon klar, dass starke Passwörter und z.B. ein blockierter root-Login (nur per su oder sudo auf der SSH) das Problem quasi umgehen. Aber neugierig bin ich trotzdem, was da im RZ von Strato vorgeht. Auch die Subdomains von serverkompetenz.net sind betroffen, welche ja, falls ich nicht total falsch liege, auch zu Strato gehören. Sollte ich da mal anrufen und gezielt nach dem Problem fragen? Meint ihr, ich finde Gehör (Wenn mich jemand anrufen würde, und mir sagt, dass mein Server kompromittiert ist, dann würde ich meinen Server umkrempeln und auf links drehen, bis ich was finde)? Oder ist das den Aufwand nicht wert? Danke für eure Erfahrungen und Ratschläge. Logauszug (Zensiert wegen Privatsphäre und fehlendem Bock darauf, verklagt zu werden): Code:
ATTFilter sshd:
Authentication Failures:
****
root (h*******.stratoserver.net): 3 Time(s)
****
__________________ Mit freundlichen Grüßen, thelinuxist Der Weltrekordhalter für die unkreativsten Signaturen... |
| Themen zu [CentOS][Fail2ban]SSH-Attacke von Strato-Dedicated-IP: Lohnt sich das Melden? |
| anrufen, bot, code, dasselbe, ebenfalls, erfahrungen, falsch, frage, fragen, kriege, links, logfiles, melde, melden, meldungen, passwörter, privatsphäre, problem, rum, seite, spiel, starke, total, versuche, versucht |
![[CentOS][Fail2ban]SSH-Attacke von Strato-Dedicated-IP: Lohnt sich das Melden?](iconimages/diskussionsforum/centos-fail2ban-ssh-attacke-strato-dedicated-ip-lohnt-melden_ltr.gif)
[CentOS][Fail2ban]SSH-Attacke von Strato-Dedicated-IP: Lohnt sich das Melden?
Baum-Darstellung