SSH Loginversuche bei Strato

L

lyn2k9

Member
Hallo liebes Forum,

ich habe Fail2Ban auf meinem vServer bei Strato installiert. Die IP wird dabei nach 5 Versuchen für einen Tag gesperrt. Normalerweise (Zeitraum ca. ein Jahr) habe ich so um die 10 Bans pro Tag (meistens nur aus dem Strato Netzwerk). Heute habe ich schon über 150 Bans registriert. So gut wie alle aus dem Strato Netzwerk. Hat jemand ähnliches beobachtet?

Viele Grüße

Lyn
 
Hallo lyn2k9,

erstmal herzlich willkommen on Board ;) - zu deinen Fail2Ban Auffälligkeiten:
Ich besitze ebenfalls einen vServer bei Strato und kann aus Erfahrung deine ca. 10 Bans/Tag bestätigen. Allerdings ist mir heute nichts großartiges aufgefallen.

Ein Tipp um diese lästigen SSH Login-Versuche zu vermeiden ist den Port von 22 umzuelgen auf irgendwas exotisches ;).

lg zhizhi778
 
Das die Zahl der Versuche seit 2 Tagen massiv zugenommen hat kann ich auch bestätigen - nicht aber, daß nur das Strato-Netz Quelle ist.
Hier mal ein Log von gestern:
Refused incoming connections:
14.35.211.11 (14.35.211.11): 1 Time(s)
14.41.50.63 (14.41.50.63): 1 Time(s)
14.46.49.173 (14.46.49.173): 1 Time(s)
14.54.214.229 (14.54.214.229): 1 Time(s)
41.214.43.50 (41.214.43.50): 1 Time(s)
41.233.71.109 (41.233.71.109): 1 Time(s)
41.234.164.220 (41.234.164.220): 1 Time(s)
59.0.98.153 (59.0.98.153): 1 Time(s)
59.4.254.231 (59.4.254.231): 1 Time(s)
59.13.70.157 (59.13.70.157): 1 Time(s)
59.15.60.191 (59.15.60.191): 1 Time(s)
59.21.15.54 (59.21.15.54): 1 Time(s)
61.74.124.79 (61.74.124.79): 1 Time(s)
61.82.231.120 (61.82.231.120): 1 Time(s)
61.82.34.110 (61.82.34.110): 1 Time(s)
61.84.191.112 (61.84.191.112): 1 Time(s)
69.73.144.72 (69.73.144.72): 1 Time(s)
69.161.17.1 (69.161.17.1): 1 Time(s)
78.111.176.138 (78.111.176.138): 6 Time(s)
82.166.185.149 (82.166.185.149): 4 Time(s)
83.66.192.157 (83.66.192.157): 1 Time(s)
85.214.35.115 (85.214.35.115): 4 Time(s)
85.214.104.52 (85.214.104.52): 8 Time(s)
85.214.201.57 (85.214.201.57): 2 Time(s)
85.214.247.219 (85.214.247.219): 2 Time(s)
85.214.252.169 (85.214.252.169): 6 Time(s)
87.24.27.89 (87.24.27.89): 2 Time(s)
91.103.82.90 (91.103.82.90): 4 Time(s)
112.184.63.60 (112.184.63.60): 1 Time(s)
113.105.65.76 (113.105.65.76): 2 Time(s)
116.249.146.178 (116.249.146.178): 1 Time(s)
119.192.71.81 (119.192.71.81): 1 Time(s)
119.198.26.28 (119.198.26.28): 1 Time(s)
119.200.101.191 (119.200.101.191): 1 Time(s)
119.200.142.52 (119.200.142.52): 1 Time(s)
119.207.121.172 (119.207.121.172): 1 Time(s)
121.135.213.52 (121.135.213.52): 1 Time(s)
121.142.119.64 (121.142.119.64): 1 Time(s)
121.143.26.97 (121.143.26.97): 1 Time(s)
121.145.143.84 (121.145.143.84): 1 Time(s)
121.145.239.90 (121.145.239.90): 1 Time(s)
121.146.181.96 (121.146.181.96): 1 Time(s)
121.146.248.89 (121.146.248.89): 1 Time(s)
121.146.44.133 (121.146.44.133): 1 Time(s)
121.151.139.140 (121.151.139.140): 1 Time(s)
121.158.182.46 (121.158.182.46): 1 Time(s)
121.164.190.158 (121.164.190.158): 1 Time(s)
121.165.136.148 (121.165.136.148): 1 Time(s)
121.165.53.180 (121.165.53.180): 1 Time(s)
121.167.72.114 (121.167.72.114): 1 Time(s)
121.171.30.232 (121.171.30.232): 1 Time(s)
121.173.39.35 (121.173.39.35): 1 Time(s)
121.174.159.137 (121.174.159.137): 1 Time(s)
121.176.212.98 (121.176.212.98): 1 Time(s)
121.179.125.227 (121.179.125.227): 1 Time(s)
121.180.206.34 (121.180.206.34): 1 Time(s)
121.181.173.217 (121.181.173.217): 1 Time(s)
121.184.133.156 (121.184.133.156): 1 Time(s)
121.187.108.72 (121.187.108.72): 1 Time(s)
121.189.202.38 (121.189.202.38): 1 Time(s)
121.191.41.134 (121.191.41.134): 1 Time(s)
129.2.17.128 (129.2.17.128): 4 Time(s)
151.60.46.102 (151.60.46.102): 1 Time(s)
175.202.68.125 (175.202.68.125): 1 Time(s)
175.213.156.186 (175.213.156.186): 1 Time(s)
200.35.150.155 (200.35.150.155): 3 Time(s)
208.51.233.202 (208.51.233.202): 2 Time(s)
220.117.90.48 (220.117.90.48): 1 Time(s)
220.79.114.197 (220.79.114.197): 1 Time(s)
222.102.140.222 (222.102.140.222): 1 Time(s)
222.117.123.129 (222.117.123.129): 1 Time(s)
222.118.232.16 (222.118.232.16): 1 Time(s)
Click to expand...
Bisher waren auch etwa 10 am Tag "normal".
Dafür ist es an anderen Fronten (w00tw00t, proxy, php-Exploits) verdächtig ruhig.
Und vor einer Woche haben zwei (202.28.68.120 und 64.31.24.17) recht hartnäckig die IMAP- und POP3-Postfächer abgegrast.
 
ZhiZhi778 said:
Ein Tipp um diese lästigen SSH Login-Versuche zu vermeiden ist den Port von 22 umzulegen auf irgendwas exotisches ;)
Click to expand...

Genau, ist eigentlich die beste Variante, um die "Standard"-Abfrager auszuschließen. STRATO bietet ja schon IPv6, daher habe ich den bei mir auf eine IPv6 aus meinem 56er-Subnetz gepackt und zusätzlich noch auf bestimmte ankommende IP-Subnetze beschränkt (ip6tables). Seitdem fragt da nicht ein einziger mehr an.

Allerdings beobachte ich in den letzten Tagen eine Zunahme der Anwendungsscanner (auf phpMyAdmin usw.), hauptsächlich aus Osteuropa/China.
 
Lange Zeit hatte ich nur Server aus den Strato-Ranges in meinen Fail2Ban-Logs (mein Server steht bei Strato), da ist die Anzahl mit 5-10 am Tag relativ konstant geblieben. Aber jetzt kommt wieder einiges von außerhalb rein, das ist schon recht auffällig geworden.

mici81de said:
Seitdem fragt da nicht ein einziger mehr an.
Click to expand...
Dir ist aber schon klar, das Fail2Ban standardmäßig keine IPv6-Adressen berücksichtigt? Ich habe eine gepatchte Version laufen, die auch diese erkennt, aber im IPv6-Bereich ist es derzeit noch sehr ruhig.
 
ITS: Das ist ne gute Idee. Wusste gar nicht, dass dies möglich ist
Click to expand...

Was seht vorteilhaft ist, sofern du die Angriffe meldest bei blocklist ist, dass diese direkt an die jeweiligen ISP's zugestellt werden. (z.b. abuse@strato, etc)

Dann kann man nur noch hoffen, dass die jeweiligen Abuse-Dept. ordentliche Arbeit leisten und die Kisten vom Netz nehmen, oder mit dem Kunden zusammen eine Lösung finden. Wichtig ist noch, dass man kaum von einer Abuse-Abteilung eine Rückmeldung bekommt, daher darf man sich nicht wundern, dass die einem nie zurückschreiben.
 
Ist mir auch schon aufgefallen. Ich hatte Strato schon mal auf das Problem angesprochen und habe als Antwort bekommen ich sollte doch bitte Anzeige erstatten. Das scheint mir jedoch nicht verhältnismäßig. Vor allen könnte ich da wahrscheinlich ne ganze Abteilung von Anwälten einschalten bei der Menge :)

Viele der Server sind oft noch tagelang am Netz. Teilweise habe ich versucht die Betreiber persönlich aufmerksam zumachen "abuse@IP" oder "root@IP". Jedoch so gut wie immer ohne Erfolg. Mittlerweile finde ich mich damit aber ab....
 
Teilweise habe ich versucht die Betreiber persönlich aufmerksam zumachen "abuse@IP" oder "root@IP"
Click to expand...

Bitte keine Mails an abuse@$ip verschicken, diese kommen nicht an!

Sofern du Hilfe brauchst, bei der Einrichtung von Fail2Ban und Blocklist, kannst du auf mich zukommen oder den User Blocklist hier direkt anschreiben. Dann ist auch sichergestellt, dass die Beschwerden sauber bei dem jeweiligen Provider ankommen.
 
wstuermer said:
Du erwartest nicht wirklich, eine Mail an eine IP-Adresse erfolgreich zustellen zu können, oder?
Click to expand...

es hat teilweise geklappt. Mittlerweile sende ich überhaupt keine Mails mehr! Total sinnlos :D

@its : ich habe mir die Homepage schon angeschaut. Falls es Probleme gibt beim Einrichten werde ich mich nochmal melden!
 
Loginversuche Strato…

Hallo Zusammen,

in den letzten Wochen beobachte ich auch auf meiner Kiste bei Strato, Loginversuche über SSH, die ausschließlich von Strato Severn kommen.

Ich habe meine Fälle unter abuse-server@strato.de gemeldet und eine Standard Mail von Strato erhalten das die Fälle bearbeitet werden. Weitere Informationen werden aus Gründen des Datenschutzes nicht gegeben.

Aber ich frage mich schon wie das sein kann das die ausschließlich von Strato Servern kommen…*

Hat jemand neue Erkenntnisse?
 
Auch Root- und VServer bei Strato können mit Schadsoftware kompromittiert sein und bei deinen Server Loginversuche starten.
 
You must log in or register to reply here.
Back
Top