Hej,

Det händer emellanåt att jag får varningar i mina loggar att SSH inloggning utifrån har misslyckats tre gånger och att IP-numret från denna hacker ha blockerats.
Allt som oftast så är dessa attacker från Kina om jag kör traceroute med network tools.
Om jag kör en port scan så har också oftast dessa IP nummer öppna portar. Bla 21 (ftp), 22 (ssh), 80 (http) och 8080 (http).
Vad är deras mening med detta? Någon som vet?
Kolla t.ex 123.127.50.15 som försökte logga in på min SSH server i natt.

/P

Det är väl ofta så att dessa attacker inte utförs från förövarnas egna datorer. Utan de använder sig av "vanliga människors" datorer som de har kapat. Därför ger det inte så mycket att försöka spåra IP-adressen bakom en sån här attack.

Ett tips är att inte använda port 22 för ssh utifrån. Jag tröttnade för många år sedan på alla intrångsförsök via port 22 och har därför gjort portforward på en annan port utifrån till port 22 på min linux-maskin på insidan. Välj en port som inte används för något känt protokoll så minska risken för portskanningar och attacker avsevärt.

Tack Atomized.
Som vanligt bra svar!



Det är väl ofta så att dessa attacker inte utförs från förövarnas egna datorer. Utan de använder sig av "vanliga människors" datorer som de har kapat. Därför ger det inte så mycket att försöka spåra IP-adressen bakom en sån här attack.

Ett tips är att inte använda port 22 för ssh utifrån. Jag tröttnade för många år sedan på alla intrångsförsök via port 22 och har därför gjort portforward på en annan port utifrån till port 22 på min linux-maskin på insidan. Välj en port som inte används för något känt protokoll så minska risken för portskanningar och attacker avsevärt.

För att säkra upp det ytligare så är det rekommenderat att sätta ip spann restriktioner, så hela världen inte har tillgång till den porten.
Dessa regler brukar man oftast kunna sätta i de flesta routrar.
Har man inte denna möjlighet så kan man sätta upp iptables regler (http://www.lysator.liu.se/%7Ekjell-e/tekla/linux/security/iptables/) och/eller allow/deny regler (http://linux.about.com/od/commands/l/blcmdl5_hostsde.htm) i Linux.
Är det en Linux PC så se till att man inte kan logga in i ssh med root, enbart som vanlig användare som i sin tur får su´a root eller att användaren har sudo rättigheter.