Hallo Georg, > Ich habe die Einstellungen meiner Fritzbox überprüft. Hier sind Portfreigaben > zur IP-Adresse von meinem Server eingerichtet gewesen:
Danke für den Nachtrag. Damit wird es recht deutlich. Es waren im Router niedrige Portummern freigegeben. Die werden permanent im Internet abgescannt und nachgesehen, ob dort leichter Zugang besteht. Man sollte immer hohe Portnummern verwenden, wenn im Router Ports dauerhaft offen sind. Dadurch reduziert sich die Anzahl der Angriffsversuche drastisch. Wenn SSH dann noch eine Schlüsselauthentifizierung (RSA) macht und nicht (nur) eine Passwortabfrage ist das schon recht sicher. Reiner hatte dazu mal in der TroLUG berichtet: http://www.trolug.de/doku.php?id=fernwartung_mit_vnc_und_ssh http://www.trolug.de/doku.php?id=protokoll_2_ssh_und_vnc Zu Deinen Warnungen in dem logfile kann ich Dich etwas beruhigen, denn es sagt ja nur, dass (evtl.) jemand versucht hat einzubrechen. Ob dies geschehen ist, ist dann noch zu klären. Vermutlich aber nicht, denn, wenn es jemand schafft einfach per ssh root@DEINSYSTEM sich einzuloggen, wird er üblicherweise auch die Logfiles reinigen. Am besten installierst Du das System neu. Das kostet weniger Zeit als eine aufwändige Analyse und führt sicher zum Ziel. > Die IP-Adressen der Angreifer habe ich identifiziert. Die sind vielleicht selbst Opfer eines Angriffs. Beste Grüße, -- Jonas Stein _______________________________________________ Trolug_trolug.de mailing list trolug@trolug.de https://ml01.ispgateway.de/mailman/listinfo/trolug_trolug.de
