Starker Anstieg bei ssh-scans

Of­fen­sicht­lich ist ein Bot­net aus­ge­zo­gen, root-Ac­counts via ssh zu su­chen: Letz­ten Sonn­tag Nacht (von 4-6 Uhr MEZ) dröp­pel­ten die ers­ten Ver­su­che her­ein, seit ges­tern Nach­mit­tag (ab 15 Uhr) kom­men die Ver­su­che im dut­zend bil­li­ger - bis dato von über 250 ver­schie­de­nen Rech­nern aus.

Meine Emp­fe­hung für sol­che Fälle:

  • Di­rek­tes root-Log­in via ssh de­ak­ti­vie­ren (Per­mit­Root­Lo­gin no)
  • Für nicht­pri­vi­li­gier­te Be­nut­zer: Einen nicht ganz of­fen­sicht­li­chen User­na­me sowie ein si­che­res Paß­wort (oder bes­ser noch: Au­then­ti­sie­rung aus­schlie­ß­lich via ssh key au­then­ti­ca­ti­on) wäh­len
  • Scan­ner mit Hilfe von Pro­gram­men wie De­ny­Hosts oder fail2ban er­ken­nen und blo­ckie­ren (wobei ich die De­fault­ein­stel­lun­gen, wel­che eine Blo­ckie­rung von meh­re­ren Tagen vor­sieht, für zu hoch halte)
  • ...​und na­tür­lich all­ge­mei­ne "good prac­tices" be­ach­ten: Re­gel­mä­ßi­ge Up­dates, un­nö­ti­ge Ports schlie­ßen, etc. Ein paar Hin­wei­se habe ich bei die­ser Ana­ly­se eines Ein­bruchs ge­sam­melt.