SSH Brute Force Welle?

[wakko]

Seit vorgestern hat fail2ban richtig was zu tun. In der täglichen Logwatch Mail sehe ich einen massiven Anstieg bei den SSH Bans. Normalerweise sind das so 20-40 pro Tag. Seit gestern sind es über 400. Heute waren es 350.
Besonders auffällig sind da OVH, DigitalOcean und Amazon Webservices.
Ist das noch jemandem aufgefallen?

 

[d3p]

Nö, ich monitore aber auch keine fehlgeschlagenen SSH-Loginversuche.
Ich will ja nur wissen, wer sich wann eingeloggt hat.

Sowas ist Grundrauschen und kann je nach Netzblock auch gerne etwas heftiger ausfallen.

 

[PHP-Friends]

Sehen wir bei einem großen Projekt, welches wir bei Hetzner betreuen, ebenfalls auf allen Servern über alle (von uns bewohnten) RZ hinweg. Bei "uns" im FC / ACC nichts dergleichen, allerdings dürfen wir bei besagtem Projekt auch den SSH-Port nicht ändern, weshalb wir da eh anfälliger für Grundrauschen sind. Ist also nicht unbedingt aussagekräftig.

 

[Joe User]

Wer die übichen Security-Mailinglists verfolgt, was also auf jeden guten[tm] System-Administrator zutrifft, weiss, woran das liegt und dass er sich keine Sorgen machen muss, wenn er die aktuelle OpenSSH-Version des OpenSSH-Projects betreibt und/oder die GSSAPI deaktiviert beziehungsweise gar nicht erst einkompiliert hat.

Ob die einzelnen Binary-Distros alle Bugfixe sauber backported haben, ist wie immer stark zu bezweifeln und daher sind Systeme mit diesen Distros potentiell gefährdet. Manuelles Sources und Patches checken ist hier wie immer angesagt...

 

[wakko]

Ich habe eine vage Idee wie eine Sicherheitslücke in OpenSSH zu einem ~1000%igen Anstieg in fehlgehschlagenen Logins führen kann, aber warum behältst Du die konkrete Antwort lieber für Dich? Anstatt pauschal alle die diese Mailinglisten nicht verfolgen als schlechte Admins abzustempeln, könnte man denen auch helfen besser(tm) zu werden und einfach einen Link zu Hintergrundinformationen geben. Dann könnten die Betroffenen sogar selber herausfinden, ob sie sich Sorgen machen müssten.
Ich gönne Dir Deine Überlegenheit, aber hilfreich ist das nicht.

Und ich monitore keine fehlgeschlagenen Logins, sondern nur durchschnittliche Anzahlen über die Zeit. Ein Anstieg um ~1000% innerhalb eines Tages fällt dann auf. Deswegen die Frage.

 

[elias5000]

Wer die übichen Security-Mailinglists verfolgt

Welches sind denn die üblichen Mailinglisten? Wenn man schon zum Lesen auffordert, dann doch bitte mit Verweis darauf, was.

die GSSAPI deaktiviert

Geht es um CVE-2018-15919[1]?

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15919

 

[Joe User]

Welches sind denn die üblichen Mailinglisten?

OSS-SEC, Bugtraq, Security-MLs und Bugtracker zum verwendeten OS, etc.

Geht es um CVE-2018-15919[1]?

Jepp.