Kein SSH Zugriff

[Mutti]

Hallo zusammen,

leider habe ich keinen Zugriff mehr auf den SSH Dienst.

Für Hilfe, Danke voraus.

 

[marce]

über Rettungskonsole einloggen, Dienst prüfen, Logs prüfen, ggf. reparieren, fertig.

 

[Joe User]

Da nur root den SSH abschalten darf, wurde Dein root wohl gehackt und Du musst den Server komplett neu aufsetzen...

 

[Demmerle IT]

Hallo,

je nach Hoster solltest du Zugriff auf eine Remotekonsole haben bzw. kannst eine KVM Konsole anstecken lassen.
Wenn du Unterstützung benötigst, gib gerne Bescheid.

Grüße

 

[marce]

Da nur root den SSH abschalten darf, wurde Dein root wohl gehackt und Du musst den Server komplett neu aufsetzen...

... oder er hat sich via fail2ban oder artverwandtem selbst geDOSed...

 

[Otzelott]

...oder, oder, oder. Nichts genaues weiß man nicht.

 

[Joe User]

Bei seinen bisherigen Threads im SSF und seiner chronischen Lernresistenz, darf man getrost vom Worst-Case ausgehen und muss dort nicht mehr Hilfe investieren als hilfreiche Informationen seinerseits bereitgestellt werden...

 

[GwenDragon]

Firewall beim Hostser blockiert SSH
Fail2Ban blockiert SSH
SSH-Server abgeschmiert

 

[Mutti]

Vielen Dank.

Aus dem Log.

Start-Date: 2021-08-11 09:09:12 Commandline: apt dist-upgrade -yq Upgrade: openssl:amd64 (1.1.1f-1ubuntu2.4, 1.1.1f-1ubuntu2.5), openssh-sftp-server:amd64 (1:8.2p1-4ubuntu0.2, 1:8.2p1-4ubuntu0.3), openssh-server:amd64 (1:8.2p1-4ubuntu0.2, 1:8.2p1-4ubuntu0.3), openssh-client:amd64 (1:8.2p1-4ubuntu0.2, 1:8.2p1-4ubuntu0.3), libssl1.1:amd64 (1.1.1f-1ubuntu2.4, 1.1.1f-1ubuntu2.5) End-Date: 2021-08-11 09:10:04

Standard Port war geändert.

 

[GwenDragon]

Standard Port war geändert

Welche Sinn hat das? Jeder Portscanner wie z.B. NMap o.ä. bekommt ruckzuck deinen "geänderten" SSH-Port raus.

 

[Mutti]

Ja, so gesehen hat das keinen Sinn.
Immerhin laufen die Scans auf den Standard Port ins leere. So mein Gedanke.

 

[GwenDragon]

Scans auf Standardports sind übliches Grundrauschen, da nutzt kein "verstecken". Wenn eine Person deinen SSH-Dämon ärgern/knacken will, geht das sehr schnell.

Wieso verwendets du nicht fail2ban oder diverse block listen, um böse Leute abzuwehren.
fail2ban hat doch ein nettes Jail für sowas.

 

[Mutti]

Vielen Dank Gwen.
Fail2ban hab ich aktiviert.

Hier mal meine Config. Eventuell gibt es etwas zu verbessern.

Port xx
#AddressFamily any
ListenAddress 0.0.0.0
#ListenAddress ::

HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key

# Authentication:

LoginGraceTime 8
PermitRootLogin yes
StrictModes yes
MaxAuthTries 1
MaxSessions 5

PubkeyAuthentication yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
PermitEmptyPasswords no

Danke wieder voraus.