Warum man keinen offenen ssh Port im Netz haben sollte

| | | Trackbacks (0)

Jeder, der einen Webserver im Netz betriebt, sollte sich bewusst sein, dass die häufigste Methode mit der auf Webserver eingebrochen wird: das Passworterraten ist. Hier eine kleine Auswertung, was so auf meinem kleinen Webserver, los ist. Bei meinem Webser ist die Passwortauthentifizierung deaktiviert. Um sich bei dem Webserver anzumelden benötigt man einen elekronischen Schlüssel. Also einen Datei mit mehreren tausen Zeichen als Passwort. Das dürfte schwer erraten zu sein. Momentan versuchen diverser kriminelle Elemente einen Benutzer auf meinem Webserver zu finden, bei dem einen normale Passwortauthentifizierung möglich ist. Im Logfile sieht dies dann so aus:

Mar 11 16:07:16 vserver sshd[31820]: Invalid user svnuser from 166.78.107.50
Mar 11 16:07:17 vserver sshd[31829]: Invalid user andy from 166.78.107.50
Mar 11 16:07:18 vserver sshd[31838]: Invalid user db1 from 166.78.107.50
Mar 11 16:07:19 vserver sshd[31847]: Invalid user db2 from 166.78.107.50
Mar 11 16:07:20 vserver sshd[31856]: Invalid user deployer from 166.78.107.50
...

In 40 Tagen gab es 5035 erfolglose Versuche. Die häufigsten Benutzernamen die ausprobiert wurden sind:

187 oracle
146 admin
119 nagios
111 postgres
69 git
66 steam
57 user
38 minecraft
37 deploy
37 alex

Die Benutzernamen "steam" und "minecraft" haben mich ein wenig überrascht. Die anderen sind die üblichen Verdächtigen.

Von folgenden IP Adressen wurde der Versuch unternommen:

481 1.245.51.210
417 69.60.115.13
359 61.218.17.119
341 115.236.79.98
288 218.108.0.91
255 80.241.211.26
251 81.17.129.220
202 80.81.127.135
172 218.240.159.86
144 112.78.3.220
...

Hmm das geht besser nach Land aufgelöst:

1293 =>  CN, China
817 =>  US, United States
642 =>  KR, Korea, Republic of
423 =>  DE, Germany
390 =>  TW, Taiwan
252 =>  UA, Ukraine
230 =>  ES, Spain
175 =>  IN, India
165 =>  VN, Vietnam
141 =>  TR, Turkey
131 =>  RU, Russian Federation
70 =>  FR, France
62 =>  GB, United Kingdom
54 =>  NL, Netherlands
28 =>  BR, Brazil
27 =>  ID, Indonesia
23 =>  CA, Canada
22 =>  FI, Finland
19 =>  CO, Colombia
17 =>  HK, Hong Kong
15 =>  IP Address not found
12 =>  BG, Bulgaria
11 =>  IT, Italy
5 =>  PH, Philippines
4 =>  ZA, South Africa
4 =>  TH, Thailand
2 =>  EU, Europe
1 =>  IS, Iceland

Jetzt  grad läuft noch ein Script, dass eine Auswertung pro OS vorsieht.... das wird noch eine weile laufen. Wenn es Sinn macht werd ich dass dann gleich mal sagen, oder diese Zeilen wieder gleich wieder löschen. Ich vermute aber mal, dass das Script noch die ganze Nacht laufen wird.

Hier die Auswertung:

1412 => not found
515 => Aggressive OS guesses: Linux 2.6.32 - 3.1 (95%), Linux 3.0 -
417 => Aggressive OS guesses: Linux 2.6.18 (94%), OpenWrt Kamikaze 7
359 => Aggressive OS guesses: Ubiquiti AirMax NanoStation WAP (Linux
341 => Aggressive OS guesses: Linux 2.6.22 - 2.6.36 (95%), Linux 2.6
288 => Aggressive OS guesses: OpenWrt White Russian 0.9 (Linux 2.4.3
251 => Aggressive OS guesses: Asus RT-N16 WAP (Linux 2.6) (95%), Asu
172 => Aggressive OS guesses: OpenWrt 0.9 - 7.09 (Linux 2.4.30 - 2.4
144 => Aggressive OS guesses: Linux 2.6.18 (93%), OpenWrt Kamikaze 7
127 => Aggressive OS guesses: Linux 3.2 - 3.6 (92%), Linux 3.0 - 3.2