Offensichtlich ist ein Botnet ausgezogen, root-Accounts via ssh zu suchen: Letzten Sonntag Nacht (von 4-6 Uhr MEZ) dröppelten die ersten Versuche herein, seit gestern Nachmittag (ab 15 Uhr) kommen die Versuche im dutzend billiger - bis dato von über 250 verschiedenen Rechnern aus.
Meine Empfehung für solche Fälle:
- Direktes root-Login via ssh deaktivieren (PermitRootLogin no)
- Für nichtpriviligierte Benutzer: Einen nicht ganz offensichtlichen Username sowie ein sicheres Paßwort (oder besser noch: Authentisierung ausschließlich via ssh key authentication) wählen
- Scanner mit Hilfe von Programmen wie DenyHosts oder fail2ban erkennen und blockieren (wobei ich die Defaulteinstellungen, welche eine Blockierung von mehreren Tagen vorsieht, für zu hoch halte)
- ...und natürlich allgemeine "good practices" beachten: Regelmäßige Updates, unnötige Ports schließen, etc. Ein paar Hinweise habe ich bei dieser Analyse eines Einbruchs gesammelt.