Ich bin etwas verwirrt ...
Bei mir im Keller steht ein Heimserver der verschiedene Dienste zum Teil auch nach außenhin anbietet.
Im NAT (fritzbox 71710) sind eine handvoll Ports freigegeben, z.B. den ssh Port 22 oder passive Ports für den FTP-Server. (Außschließlich TLS-Verbindungen)
Zum anderen läuft von einem anderen Server ein passiver SSH-Tunnel von diesem externen Server auf meinen Heimserver, da kein Vollzugriff auf dessen NAT besteht.(per publickey & autossh)
Zudem läuft ein beiden ein ddclient, der die jeweils aktuelle IP mit DynDns.org synchronisiert.
Zudem läuft ein TS3-Server (Non-Profit Lizenz), der auch nach außenhin freigegeben ist.
OS ist Debian.
Beim Kontrollieren des /var/log/auth.log fielen mir einige merkwürde Einträge ins Auge.
Eigentlich wollte ich nur Nachsehen, ob sich der andere Server schon erfolgreich eingeloggt hat.
(Hier einige Ausschnitte aus dem Logfile http://pastebin.com/WV9wCNqi)
Nach Bemerken dieser Einträge habe ich erstmal eine neue IP beim ISP angefordert und weiterhin den Log beobachtet. Bis jetzt hat sich der nette Mensch nicht mehr gemeldet.
Merkwürdig finde ich besonders, dass die "Angriffe" nach IP Address Lookup augenscheinlich aus China kommen... (http://www.ipchecking.com/?ip=124.42.3.51&check=Lookup)
Irgendjemand Erfahrungen mit sowas?
Wie kann ich mich ausreichend vor soetwas schützen?
-root-logins untersagen
-ips nach gewisser Anzahl sperren
-???
Wer macht soetwas/zu welchem Zweck?
Was macht mich als Privatperson interessant?
Gruß
Bei mir im Keller steht ein Heimserver der verschiedene Dienste zum Teil auch nach außenhin anbietet.
Im NAT (fritzbox 71710) sind eine handvoll Ports freigegeben, z.B. den ssh Port 22 oder passive Ports für den FTP-Server. (Außschließlich TLS-Verbindungen)
Zum anderen läuft von einem anderen Server ein passiver SSH-Tunnel von diesem externen Server auf meinen Heimserver, da kein Vollzugriff auf dessen NAT besteht.(per publickey & autossh)
Zudem läuft ein beiden ein ddclient, der die jeweils aktuelle IP mit DynDns.org synchronisiert.
Zudem läuft ein TS3-Server (Non-Profit Lizenz), der auch nach außenhin freigegeben ist.
OS ist Debian.
Beim Kontrollieren des /var/log/auth.log fielen mir einige merkwürde Einträge ins Auge.
Eigentlich wollte ich nur Nachsehen, ob sich der andere Server schon erfolgreich eingeloggt hat.
(Hier einige Ausschnitte aus dem Logfile http://pastebin.com/WV9wCNqi)
Nach Bemerken dieser Einträge habe ich erstmal eine neue IP beim ISP angefordert und weiterhin den Log beobachtet. Bis jetzt hat sich der nette Mensch nicht mehr gemeldet.
Merkwürdig finde ich besonders, dass die "Angriffe" nach IP Address Lookup augenscheinlich aus China kommen... (http://www.ipchecking.com/?ip=124.42.3.51&check=Lookup)
Irgendjemand Erfahrungen mit sowas?
Wie kann ich mich ausreichend vor soetwas schützen?
-root-logins untersagen
-ips nach gewisser Anzahl sperren
-???
Wer macht soetwas/zu welchem Zweck?
Was macht mich als Privatperson interessant?
Gruß
