Gerade sehe ich mal durch die Logs des sshd
, da fällt auf:
Mar 2 09:59:46 big sshd[7021]: Invalid user admin from 141.98.80.69 port 45833 Mar 2 09:59:46 big sshd[7024]: Invalid user admin from 141.98.80.70 port 35859 Mar 2 09:59:54 big sshd[7037]: Invalid user user from 141.98.80.71 port 46773 Mar 2 09:59:55 big sshd[7468]: Invalid user admin from 141.98.80.82 port 43473 Mar 2 09:59:56 big sshd[7573]: Invalid user operator from 141.98.80.85 port 50042 Mar 2 09:59:57 big sshd[7599]: Invalid user test from 141.98.80.69 port 33773 Mar 2 10:00:06 big sshd[7684]: Invalid user guest from 141.98.80.71 port 42305 Mar 2 10:00:07 big sshd[8321]: Invalid user ubnt from 141.98.80.82 port 38095 Mar 2 10:00:07 big sshd[8997]: Invalid user guest from 141.98.80.83 port 35895 Mar 2 10:00:07 big sshd[9004]: Invalid user support from 141.98.80.85 port 52444
Das heißt, der Angreifer hat mehrere IPs unter seiner Kontrolle und kann die wechseln. Sinnvoll ist das nur, um ein IDS zu umgehen.