Hallo Jungs,
vor allem aus China erfolgen auf meinen Ubuntu-Server seit mindestens 2 Tagen unerwünschte Zugriffsversuche! Gearbeitet wird offenbar mit Passwort- und Nutzerlisten um per SSH Zugriff zu erlangen.
Laut Logs war bisher kein Loginversuch erfolgreich, aber falls doch, können die ja manipuliert werden.
Was ich möchte ist, dass ab sofort die Zugriffsversuche je IP auf 2 beschränkt werden und dann der Zugriff erst nach einer bestimmten Zeit wieder versucht werden kann.
Konkret geht es mir hierbei um:
SSH-Logins
Apache2-Logins
Postfix/smtpd-Logins
...und wenn möglich, auch wenn sie nicht angegriffen werden, um:
ProFTP-Logins
Als System läuft Ubuntu 10.04
Mein Administrator-Passwort ist sehr lang und besteht aus sinnlosen Zeichen, dennoch will ich auf Grund der zu schützenden Daten alles mögliche tun, damit niemand eine Chance hat!
---------
Edit: Das hier habe ich im access.log von apache2 gefunden!
58.218.199.227 - - [10/Jul/2011:04:05:49 +0200] "GET http://www.tripingnow.com/pe.php HTTP/1.1" 401 801 "-" "Mozilla/4.0 (compatible; MSIE 6.0; W$
58.218.199.227 - - [10/Jul/2011:05:26:01 +0200] "GET http://financeande.com/feed/feed.php HTTP/1.1" 401 798 "-" "Mozilla/4.0 (compatible; MSIE 6.$
202.75.211.206 - - [10/Jul/2011:05:45:36 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 401 647 "-" "ZmEu"
202.75.211.206 - - [10/Jul/2011:05:45:37 +0200] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 401 647 "-" "ZmEu"
202.75.211.206 - - [10/Jul/2011:05:45:38 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 401 647 "-" "ZmEu"
alle dieser IPs sind mir unbekannt! Was haben die Meldungen zu bedeuten?
Linux 14.982 Themen, 106.350 Beiträge
danke für eure Antworten - seit des Einrichtens von 'fail2ban' sind vor allem die Angriffe auf meinen Mailserver eingestellt worden. Bei SSH finden vereinzelt noch Zugriffsversuche statt, aber in einer überschaubaren Menge.
Eine Frage noch zu dem hier veröffentlichten Auszug aus meinem Apache-Logfile:
Die Versuche von 202.75.211.206 einzelne Dateien auf meinem Server aufzurufen (die nicht existieren) kann ich nachvollziehen - wie ist es aber der 58er-IP möglich, über meinen Server eine ganz andere Webseite aufzurufen? Verbindet mein Server tatsächlich zu der Domain? Falls nein, was bringen dem Angreifer solche Requests?
Eigentlich habe ich meine komplette Webpräsenz per .htaccess geschützt.
Um DDos wird es sich wohl nicht handeln, dafür sind die Zeitabstände zwischen den einzelnen Aufrufen zu groß. Bei der 202er-IP handelt es sich offenbar um einen Securityscanner, der IP-Ranges abgrast und die Server auf potentielle Angriffsziele untersucht.