Thomas79
14.08.07, 12:08
Hallo zusammen,
ich hoffe ihr könnt mir ein wenig weiterhelfen.
Folgende Situation bei uns in der Firma.
Wir haben 2 Root Server bei Strato und ich (als nicht sehr versierter Linuxnutzer) bin im Moment für diese Server zuständig. Ich habe mir mittlerweile schon mehrmals unter "/var/log" die Datei "messages" angeschaut.
Dort gibt es u.a. folgende Einträge
Aug 14 11:05:58 h1175145 sshd[20927]: reverse mapping checking getaddrinfo for corporativos_245173-147.etb.net.co failed - POSSIBLE BREAKIN ATTEMPT!
Aug 14 11:06:00 h1175145 sshd[20929]: reverse mapping checking getaddrinfo for corporativos_245173-147.etb.net.co failed - POSSIBLE BREAKIN ATTEMPT!
Aug 14 11:06:01 h1175145 /usr/sbin/cron[20934]: (root) CMD (/usr/local/visas/server/visas-event.sh)
Aug 14 11:06:02 h1175145 sshd[20931]: reverse mapping checking getaddrinfo for corporativos_245173-147.etb.net.co failed - POSSIBLE BREAKIN ATTEMPT!
Aug 14 11:06:03 h1175145 sshd[20939]: Invalid user network from ::ffff:201.245.173.147
Aug 14 11:06:03 h1175145 sshd[20939]: reverse mapping checking getaddrinfo for corporativos_245173-147.etb.net.co failed - POSSIBLE BREAKIN ATTEMPT!
Aug 14 11:06:05 h1175145 sshd[20941]: Invalid user word from ::ffff:201.245.173.147
oder
Aug 11 07:59:58 h1175145 sshd[12712]: Invalid user chiltlin from ::ffff:85.19.135.21
Aug 11 07:59:59 h1175145 sshd[12714]: Invalid user chimpy from ::ffff:85.19.135.21
Aug 11 07:59:59 h1175145 sshd[12716]: Invalid user chrisg from ::ffff:85.19.135.21
Aug 11 08:00:00 h1175145 sshd[12718]: Invalid user chrome from ::ffff:85.19.135.21
Aug 11 08:00:00 h1175145 sshd[12720]: Invalid user cimtig from ::ffff:85.19.135.21
Aug 11 08:00:01 h1175145 sshd[12722]: Invalid user civsoc from ::ffff:85.19.135.21
Ich würde nun gerne wissen ob es eine Möglichkeit gibt, solche IP Adressen nach z.B. 10 fehlgeschlagenen Loginversuchen für einen bestimmten Zeitraum zu sperren?
Auf den Systemen laufen Suse 9.3 bzw. Suse 9.0.
Wie gesagt, bin da nicht so vertraut mit. Hoffe dennoch ihr könnt mir eine Lösung mitteilen und mir irgendwie verständlich machen wie ich da vorzugehen habe.
Vielen Dank für eure Bemühungen.
Thomas
ich hoffe ihr könnt mir ein wenig weiterhelfen.
Folgende Situation bei uns in der Firma.
Wir haben 2 Root Server bei Strato und ich (als nicht sehr versierter Linuxnutzer) bin im Moment für diese Server zuständig. Ich habe mir mittlerweile schon mehrmals unter "/var/log" die Datei "messages" angeschaut.
Dort gibt es u.a. folgende Einträge
Aug 14 11:05:58 h1175145 sshd[20927]: reverse mapping checking getaddrinfo for corporativos_245173-147.etb.net.co failed - POSSIBLE BREAKIN ATTEMPT!
Aug 14 11:06:00 h1175145 sshd[20929]: reverse mapping checking getaddrinfo for corporativos_245173-147.etb.net.co failed - POSSIBLE BREAKIN ATTEMPT!
Aug 14 11:06:01 h1175145 /usr/sbin/cron[20934]: (root) CMD (/usr/local/visas/server/visas-event.sh)
Aug 14 11:06:02 h1175145 sshd[20931]: reverse mapping checking getaddrinfo for corporativos_245173-147.etb.net.co failed - POSSIBLE BREAKIN ATTEMPT!
Aug 14 11:06:03 h1175145 sshd[20939]: Invalid user network from ::ffff:201.245.173.147
Aug 14 11:06:03 h1175145 sshd[20939]: reverse mapping checking getaddrinfo for corporativos_245173-147.etb.net.co failed - POSSIBLE BREAKIN ATTEMPT!
Aug 14 11:06:05 h1175145 sshd[20941]: Invalid user word from ::ffff:201.245.173.147
oder
Aug 11 07:59:58 h1175145 sshd[12712]: Invalid user chiltlin from ::ffff:85.19.135.21
Aug 11 07:59:59 h1175145 sshd[12714]: Invalid user chimpy from ::ffff:85.19.135.21
Aug 11 07:59:59 h1175145 sshd[12716]: Invalid user chrisg from ::ffff:85.19.135.21
Aug 11 08:00:00 h1175145 sshd[12718]: Invalid user chrome from ::ffff:85.19.135.21
Aug 11 08:00:00 h1175145 sshd[12720]: Invalid user cimtig from ::ffff:85.19.135.21
Aug 11 08:00:01 h1175145 sshd[12722]: Invalid user civsoc from ::ffff:85.19.135.21
Ich würde nun gerne wissen ob es eine Möglichkeit gibt, solche IP Adressen nach z.B. 10 fehlgeschlagenen Loginversuchen für einen bestimmten Zeitraum zu sperren?
Auf den Systemen laufen Suse 9.3 bzw. Suse 9.0.
Wie gesagt, bin da nicht so vertraut mit. Hoffe dennoch ihr könnt mir eine Lösung mitteilen und mir irgendwie verständlich machen wie ich da vorzugehen habe.
Vielen Dank für eure Bemühungen.
Thomas