Starker Anstieg bei ssh-scans

Offensichtlich ist ein Botnet ausgezogen, root-Accounts via ssh zu suchen: Letzten Sonntag Nacht (von 4-6 Uhr MEZ) dröppelten die ersten Versuche herein, seit gestern Nachmittag (ab 15 Uhr) kommen die Versuche im dutzend billiger - bis dato von über 250 verschiedenen Rechnern aus.

Meine Empfehung für solche Fälle:

  • Direktes root-Login via ssh deaktivieren (PermitRootLogin no)
  • Für nichtpriviligierte Benutzer: Einen nicht ganz offensichtlichen Username sowie ein sicheres Paßwort (oder besser noch: Authentisierung ausschließlich via ssh key authentication) wählen
  • Scanner mit Hilfe von Programmen wie DenyHosts oder fail2ban erkennen und blockieren (wobei ich die Defaulteinstellungen, welche eine Blockierung von mehreren Tagen vorsieht, für zu hoch halte)
  • ...und natürlich allgemeine "good practices" beachten: Regelmäßige Updates, unnötige Ports schließen, etc. Ein paar Hinweise habe ich bei dieser Analyse eines Einbruchs gesammelt.