4. Komische IPs verbinden sich. :)

Komische IPs verbinden sich. :)

  • C

    Hey,

    ich teste gerade einen HTTP-Server. (Eigentlich kann er nur Dateien senden.) Vorhin habe ich den ausversehen so um 3 Stunden laufen lassen. Als ich mir dann die Logs angeguckt habe, hatten sich 5 komische IPs verbunden. Die haben alle nur "HEAD / HTTP/1.0\r\n\r\n" geschickt. Eben gerade hat sich gleich noch eine verbunden, da habe ich die Adresse mal "gewhoist". Ergebnis: http://www.ip-adress.com/ip_lokalisieren/122.181.150.50

    Wollen mich die Inder hacken? Ist das normal? Ich habe keinen Webserver, daher würde mich das mal interessieren. Vielleicht weiß ja jemand was da los ist. 😃

    0
  • C

    Ist normales Hintergrundrauschen. Kann man ignorieren.

    0
  • C

    Christoph schrieb:

    Kann man ignorieren.

    Davon bin ich jetzt ausgegangen, aber irgendwie interessiert mich trotzdem woher das kommt. Scannen die das Internet oder so? Was soll das? 🙂

    0
  • ?

    Auf meinem Server gab es letzten Monat über 15.000 Einlogversuche per SSH. Das entspricht 500 pro Tag, oder gerundet einem Einlogversuch alle 3 Minuten. Die meisten davon aus Indien. Reingekommen sind sie nicht, also mach du dir mal keine Sorgen.

    0
  • Mod

    cooky451 schrieb:

    Scannen die das Internet oder so?

    Salopp gesagt: Ja.

    0
  • R

    314159265358979__ schrieb:

    Auf meinem Server gab es letzten Monat über 15.000 Einlogversuche per SSH. Das entspricht 500 pro Tag, oder gerundet einem Einlogversuch alle 3 Minuten. Die meisten davon aus Indien. Reingekommen sind sie nicht, also mach du dir mal keine Sorgen.

    Daher würde ich SSH immer auf einen anderen Port legen. Das hält die Logs einfach sauber und mit einem entsprechenden Eintrag in ~/.ssh/config merkt man davon nichts auf dem Client.

    0
  • C

    rüdiger schrieb:

    Daher würde ich SSH immer auf einen anderen Port legen.

    Und das bringt genau was?

    Du glaubst doch nicht im ernst das die, wenn die auf Post 22 nix finden, nicht mehr weiter suchen, oder?

    Das klappt vielleicht bei den Skript-Kiddies, aber jemand der rein will, findet den Port trotzdem.

    0
  • C

    Cybertec schrieb:

    rüdiger schrieb:

    Daher würde ich SSH immer auf einen anderen Port legen.

    Du glaubst doch nicht im ernst das die, wenn die auf Post 22 nix finden, nicht mehr weiter suchen, oder?

    Es hält die Logs sauber, mehr nicht. Kann man auch auf Port 22 lassen, macht für die Sicherheit wie du schon sagst genau gar keinen Unterschied.

    Übrigens würde ich ssh immer, wenn möglich, auf Login mit private/public key umstellen und Passwort-Login verbieten. Das hält die Logs auch sauber, weil die ganzen Skripte sowieso nur Passwort-Login probieren, was man ganz leicht aus den Logs filtern kann.

    0
  • ?

    Darüber habe ich auch schon nachgedacht, konnte mich aber noch nicht dazu aufraffen, es zu tun 😃

    0
  • S

    Cybertec schrieb:

    rüdiger schrieb:

    Daher würde ich SSH immer auf einen anderen Port legen.

    Und das bringt genau was?

    rüdiger schrieb:

    Das hält die Logs einfach sauber

    Nicht mehr, aber halt auch nicht weniger.

    0
  • ?

    Cybertec schrieb:

    rüdiger schrieb:

    Daher würde ich SSH immer auf einen anderen Port legen.

    Und das bringt genau was?

    Du glaubst doch nicht im ernst das die, wenn die auf Post 22 nix finden, nicht mehr weiter suchen, oder?

    Das klappt vielleicht bei den Skript-Kiddies, aber jemand der rein will, findet den Port trotzdem.

    Es geht um ungezielte Angriffe. Bei gezielten Attacken trifft dein Argument natürlich zu.

    0
  • C

    Naja, die Arbeit kann man sich eigentlich sparen, weil wer immer noch mit Username und Passwort hantiert hat es eigentlich verdient gehackt zu werden. 😃

    Deshalb, Private-/Public Key, fertig. 😉

    0
  • C

    SeppJ schrieb:

    cooky451 schrieb:

    Scannen die das Internet oder so?

    Salopp gesagt: Ja.

    Wenn in 3 Stunden 5 Inder an der gleichen (mehr oder weniger) zufälligen IP vorbeikommen, wie viele Inder haben dann nichts zu tun? 😃

    0
  • L

    Cybertec schrieb:

    Naja, die Arbeit kann man sich eigentlich sparen, weil wer immer noch mit Username und Passwort hantiert hat es eigentlich verdient gehackt zu werden. 😃

    Ich halte es so, dass Shell-Benutzer sich nur mit Keys anmelden dürfen. Alle anderen dürfen sich zwar mit Passwort anmelden, werden aber chrooted und haben keine Shell (für SFTP ins Webhosting-Verzeichnis).

    0
  • Mod

    Cybertec schrieb:

    Naja, die Arbeit kann man sich eigentlich sparen, weil wer immer noch mit Username und Passwort hantiert hat es eigentlich verdient gehackt zu werden. 😃

    Hast du mal geguckt, mit welchen Namen die sich einloggen wollen? Es reicht schon, wenn der root-Account nicht root oder admin heißt, dann ist man sicher. Außerdem meine Empfehlung:
    http://en.wikipedia.org/wiki/DenyHosts

    0
  • C

    Ja, schon klar.

    Bei mir kann man sich gar nicht direkt als root anmelden, sondern nur als user per ssh key, und die, die es dennoch probieren, werden nach 5 Fehlversuchen gesperrt. 😉

    0
  • V

    Cybertec schrieb:

    Ja, schon klar.

    Bei mir kann man sich gar nicht direkt als root anmelden, sondern nur als user per ssh key, und die, die es dennoch probieren, werden nach 5 Fehlversuchen gesperrt. 😉

    Hoffentlich werden die User gesperrt und nicht die IP-Adresse.

    0
  • C

    Es wird die IP gesperrt für ne gewisse Zeit.

    0
Anmelden zum Antworten