SSH Bruteforce aus griechischem Netzwerk!?

Dieses Thema im Forum "Security" wurde erstellt von Gunah, 17. Mai 2014.

  1. Gunah

    Gunah New Member

    Registriert seit:
    28. September 2007
    Beiträge:
    77
    Moin,

    an den Tagen Donnerstag - Freitag, stelle ich fest, dass an mehreren Systemen von uns
    die in verschiedenen Rechnenzentren und verschiedenen Hostern sind versucht worden zu bruten.

    Da eh per SSH nur Login via Key/Zertifikat möglich ist, ist das nicht das Problem gewesen und diese wurden auch von Denyhosts und Fail2ban direkt behandelt.
    Es waren aber verschiedene IPs weshalb dieses gedauert hat, nach kurzer Analyse konnte ich dieses auf dem ersten Betreffendem System finden, und konnte insgesammt 600 IP Adressen ausfindig machen, worauf ich hin den überprüft habe, in welche Range die IPs sind und welchem Anbieter die angehören.

    Es war immer der gleiche, konnte ein andere sowas ähnliches erkennen?

    Die erste Attacke war auf einem Einzelnem System am Donnerstag Abend, die Restlichen wurden am Freitag mittag gefunden.
    Daraufhin habe ich die IP Ranges des Providers fast komplett geblockt, da jeder Aufruf von SSH ja auch etwas last bringt.

    Edit:// bspw. IPs und die Ranges bzw den Anbieter würde ich per PN auf Anfrage übergeben

    Gruß
    Gunah
     

Diese Seite empfehlen