loginversuche über Sshd?

[pfannkuchen2001]

Hi,

ich habe mal grad in die Konsole geschaut und festgestellt, dass ich hunterte folgender Nachrichten bekomme:

26.01.16 19:54:27,465 sshd[1334]: error: PAM: authentication error for root from 183.3.202.109 via ***.***.***.***

diese IP ist irgendwo in China . Nmap sagt folgendes:

nmap -sY 183.3.202.109
Starting Nmap 7.00 ( https://nmap.org ) at 2016-01-26 19:58 CET
Nmap scan report for 183.3.202.109
Host is up (0.49s latency).
All 52 scanned ports on 183.3.202.109 are filtered
Nmap done: 1 IP address (1 host up) scanned in 6.13 seconds

Das problem ist, dass mein Rechner im DFN mit öffentlicher IP erreichbar ist.

Was mache ich?


Gruß

 

[Stargate]

Das problem ist, dass mein Rechner im DFN mit öffentlicher IP erreichbar ist.

Was mache ich?

Das wundert dich doch jetzt nicht wirklich, oder?

Wenn du Schilder aufstellst -> hier Party -> kommen halt auch Gäste.
(Obwohl der Besuch anscheinend noch nicht den Kühlschrank gefunden hat)



Eine bessere Firewall verwenden und die "Erreichbarkeit" überdenken..
Z.B in Form von VPN.

 

[Deine Mudda]

Solche Brute-Force-Zugriffe sind leider ganz normal.

Du hast natürlich den root-Zugriff per SSH eh ausgeschaltet. Ich lege normalerweise SSH auf einen anderen Port und erlaube Authentifizierung nur per Public-Key. Dann ist eigentlich Ruhe.

 

[TGY]

Ich weiß nicht, welche Services und welchen Zugang von außen du auf deinen Mac benötigst. Wenn du ssh nicht benötigst, deaktiviere "Entfernte Anmeldung" + alle anderen nicht benötigten Dienste in den Systemeinstellungen unter Freigaben. OSX Firewall einschalten und auf alle eingehenden Verbindungen blockieren stellen. "Signierte Software..." abhaken, Tarnmodus anhaken. Sollte erstmal reichen. Ansonsten halt noch ne Firewall zusätzlich nutzen: Little Snitch ist einfach zu bedienen (auch für eingehende Verbindungen ab Version 3) oder eine GUI-App für die standardmäßig deaktivierte mitgelieferte Firewall pfctl.

 

[pfannkuchen2001]

Hi,

ich wundere mich nicht wirklich über diese art "angriffe" ich habe auch den root Zugang abgeschaltet. ssh kann ich nicht abschalten und da ich leider immer wieder von anderen Rechnern auf eben diesen Rechner zugreifen muss, kann ich auch nicht wirklich Public-Keys verwenden...

Die Frage zielte eher in Richtung: einfach nix machen und der OSX Firewall vertrauen? Gibt es alternativen?


Gruß und Danke!

 

[roedert]

Gibt es alternativen?

Wurden doch schon genannt .... zB ssh auf anderen Port (abseits vom Standard 22) legen, VPN verwenden etc.

 

[xentric]

Oder einfach nichts machen. Eine kurze Googlesuche hätte gereicht, dass das völlig normal ist.

Falls sshd wirklich ein Problem mit remote code exection durch fehlerhafte loginVersuche hatte würde man das relativ schnell mitbekommen, da sicherlich ein Großteil, wenn nicht fast das ganze Internet mit open ssh arbeitet.

 

[Kaito]

Die Frage ist wann Apple sowas patchen würde...

 

[oneOeight]

diese brute force attacken rasseln jeden tag auf server überall ein.
es gibt halt ein paar tools (fail2ban oder denyhosts), um diese zu verlangsamen, die parsen die log files und sperren dann den zugang für die IP für einige zeit.

alternativ kannst du auch einfach den ssh port verlegen, so dass du nicht die standard ports nutzt.
normal scannen die angreifer aber auch die ganzen ports ab, um lauschenden dienste zu finden.
falls du sicher bist, dass du nicht aus china einloggen willst, kannst du ja auch von hand komplette IP ranges sperren oder direkt eine positiv liste machen.

ein anderer ansatz wäre es noch passwort login abschalten und nur per pubkey den zugriff erlauben.