fail2ban umgehen

Gera­de sehe ich mal durch die Logs des sshd, da fällt auf:

Mar  2 09:59:46 big sshd[7021]: Invalid user admin from 141.98.80.69 port 45833
Mar  2 09:59:46 big sshd[7024]: Invalid user admin from 141.98.80.70 port 35859
Mar  2 09:59:54 big sshd[7037]: Invalid user user from 141.98.80.71 port 46773
Mar  2 09:59:55 big sshd[7468]: Invalid user admin from 141.98.80.82 port 43473
Mar  2 09:59:56 big sshd[7573]: Invalid user operator from 141.98.80.85 port 50042
Mar  2 09:59:57 big sshd[7599]: Invalid user test from 141.98.80.69 port 33773
Mar  2 10:00:06 big sshd[7684]: Invalid user guest from 141.98.80.71 port 42305
Mar  2 10:00:07 big sshd[8321]: Invalid user ubnt from 141.98.80.82 port 38095
Mar  2 10:00:07 big sshd[8997]: Invalid user guest from 141.98.80.83 port 35895
Mar  2 10:00:07 big sshd[9004]: Invalid user support from 141.98.80.85 port 52444

Das heißt, der Angrei­fer hat meh­re­re IPs unter sei­ner Kon­trol­le und kann die wech­seln. Sinn­voll ist das nur, um ein IDS zu umgehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.