Hallo!

Nachdem mein Server nun einige Tage zwar pingbar aber sonst nicht erreichbar war (Kein SSH, FTP oder HTTP), habe ich mich mal umgeschaut und in /var/log/messages auch ganz schnell festgestellt, dass irgendein Bastard schon seit Tagen versucht per brute force ein ssh login zu vollziehen.

Das wird vermutlich irgendein Bot sein, der das probiert. Irgendwie werden die wohl immer schlimmer, ich habe alleine in den letzten 24 Stunden über 10.000 solcher Einträge in den Logs. Gut, solange man kein Platz-Problem bekommt ist es eigentlich nicht weiter wild (zumindest wenn man keine Standard-Benutzer mehr im System hat und am besten Passwort- und Root-Login komplett verbietet, und sonst wenigstens sehr, sehr gute Passwörter).

Wieviele Versuche waren es denn bei Dir in den letzten 24 Stunden?

Es sieht nicht so aus, als wäre er erfolgreich gewesen, trotzdem sind seine Hackversuche höchst nervig, da mein Server dadurch ständig ausfällt und anscheinend nur durch einen Neustart wieder auf die Beine kommt.

Woher weißt Du denn, dass diese beiden Sachen zusammenhängen? Wie gesagt, das ist vertmutlich eher so eine Art "Hintergrund-Rauschen", wie es die meisten Server heute ertragen müssen.

Was soll ich denn jetzt gegen diesen W****er machen?

Woraus schließt Du, dass Du es mit einem individuellen Angriff von einer Person zu tun hast?

Mein sshd ist auf password authentication via pam eingestellt.

kannst Du nicht auf das public-key Verfahren umstellen, und root-login abschalten? Dann funktioniert Brute-Force nicht mehr.

Ich habe leider keine statische IP für meine workstation, sodass ich leider nicht einstellen kann, dass nur eine bestimmte adresse (nämlich ich) sich einloggen darf. Kann ich z.B. irgendwie festlegen, dass sobald jemand einen nicht erlaubten user eingibt, seine Adresse sofort für eine gewisse Zeit oder für immer gesperrt sein soll?

gibt es zwar:

http://dev.gentoo.org/~krispykringle/sshnotes.txt
http://www.pettingers.org/code/SSHBlack.html
http://linux.newald.de/new_design/login_check.html

halte ich aber nicht für erforderlich, und dank anonymer Proxies auch für unwirksam. Solche IP-Tables Scripte können Dich wirksam nicht vor Brute-Force / DDOS schützen.

Es wäre sehr viel sinnvoller an einer anderen Stelle anzusetzen: verbiete Passwort-Login, dann können sie nichts erreichen, auch nicht mit 10.000 wechselnden Proxies.

Größere Gefahren lauern meist eher im Bereich der unsicheren Web-Scripte.

Ich weiss dass die Leute ihre Adressen wie Unterhosen wechseln können, aber wenigstens würde es den DOS charackter unterbinden.

Warum? Es bringt Dir nichts. DOS über SSH ist IMHO auch eher unwahrscheinlich. Ich tippe wie gesagt auf diverse Bots die auf gut Glück versuchen Root-Server mit schlechten Passwörtern zu finden. Mit Sicherheit das sogar sehr erfolgreich.

Ich vermute, dass Deine Abstürze eine andere Ursache haben.

Und wenn es wirklich zu viel wird mit den Login-Versuchen (d.h. das ganze hat wirklich DOS-Charakter, müsstest Du aber mal mit top oder so verifizieren), könntest Du Deinen sshd vorübergehend an einen anderen Port binden (aber glaube nicht dass Dich das irgendwogegen schützt!), so dass automatisierte Bots Dich vielleicht in Ruhe lassen.

Aber wie gesagt, mache nicht den Fehler wie viele zu glauben, dass es Dich irgendwovor schützt.

Grüße
Andreas