Hilfe werde ich Angegriffen?

Ich kann die Scripte wohl veröffentlichen, muss aber noch mal kurz drüber schauen, ob sie von der Code Qualität her vertretbar sind.

Ich bin dazu übergegangen SSH nur von meiner VPN Adresse zu erlauben. Das ist macht ein kleiner Server auf dem ausschließlich WireGuard läuft. Bis auf diesen einen Port ist alles geschlossen. Selbst SSH ist aus und wird nur bei Bedarf über das VCP gestartet.

Diese ip meines VPN-Server nutze ich dann auf allen anderen Server zum administrieren.

Aber auch dort ist natürlich mit auf, was auf sein muss.

In den Netcup Tutorials gibt’s eins das dich per Mail informiert wenn sich jemand per SSH einloggt.

Dann weißt du zumindest dass jemand auf deinem System ist.

Quote from bastihase

gERERG_G.jpg

Kann es sein, dass du noch Win7 benutzt? Die abgerundeten Ecken und der Aero Glass Style deuten zumindest darauf hin. Falls ja, dann ist das definitiv ein Problem.

Du solltest dazu übergehen den Login User umzubenennen und "root" zu ersetzen. Das bringt Dir schon die Gewissheit, dass viele der Loginversuche im Sande verlaufen werden.
fail2ban ist bereits ganz gut. In Kombination mit einer festen IP von zu Hause (?) hat man ja noch ne gewisse Sicherheit sich nicht auszusperren
Ansonsten sind unique komplexe Kennwörter das Mittel der Wahl (1Password, Keepass..).
Geo-Blocking muss ich auch noch einrichten.

Bei mir habe ich zwischen 100.000 und 800.000 Loginversuche in 24 Stunden. Dadurch dass ich keine Standarduser verwende, ist die Gefahr recht gering.
Zusätzlich monitore ich noch die Versuche und WENN sich mal jemand success anmeldet, dann bekomme ich ne Mail.

Kein Login für Root.

SSH zu einem anderen Port (ist keine Lösung - hilft jedoch erstaunlich gut)
Auf Port 22 endlessh laufen lassen.

Damit fahre ich bisher ganz okay.

Quote from SilSte

ist keine Lösung - hilft jedoch erstaunlich gut

Doch, ist schon eine recht gute Lösung (wenngleich Portknocking oder VPN natürlich besser ist).

Siehe hier

Auszug eines VPS bei netcup: Nach 5 Monaten kein einziger SSH-Versuch. Die 9 gebannten IPs versuchten es in den 90 Minuten von der Server-Bereitstellung durch netcup bis zu meinem ersten Login:

Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     0
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
|- Currently banned: 9
|- Total banned:     9
`- Banned IP list:   91.18.145.241 91.18.146.192 91.18.147.37 91.18.158.122 93.210.182.195 93.210.182.64 93.210.183.139 93.227.114.99 93.227.115.12


Status for the jail: ufw
|- Filter
|  |- Currently failed: 3659
|  |- Total failed:     89525
|  `- Journal matches:
`- Actions
|- Currently banned: 40213
|- Total banned:     40213
`- Banned IP list:   1.116.45.166 1.119.137.226 1.119.159.2 1.14.32.94 1.15.235.80 1.15.238.46 1.164.110.150 1.164.97.103 1.169.73.188 1.175.183.204 1.179.145.37 1.180.98.210 1.189.23.211 1.189.59.72 1.197.78.123 1.202.37.242 1.202.91.85 1.212.20.183 1.214.197.163 1.215.40.195 1.220.57.213 1.232.29.63 1.234.31.117 1.234.58.179 1.234.58.234 1.237.162.20 1.254.101.182 1.29.139.87 1.36.176.79 1.53.31.51 1.55.33.86 1.61.144.28 1.62.252.230 1.68.255.242 1.69.46.176 1.69.63.187 1.69.96.8 1.70.10.203 1.70.10.90 1.70.102.43 1.70.12.222 1.70.12.99 1.70.130.218 1.70.131.169 1.70.139.148 1.70.163.25 1.70.165.193 1.70.169.243 1.70.184.186 1.70.96.52 1.71.129.50 1.71.5.134 10.0.0.5 100.2.171.170 100.2.86.11 100.29.192.0 100.29.192.1 100.29.192.102 100.29.192.105 100.29.192.106 100.29.192.111 100.29.192.112 100.29.192.113 100.29.192.114 100.29.192.117 100.29.192.118 100.29.192.119 100.29.192.12 100.29.192.120 100.29.192.121 100.29.192.122 100.29.192.123 100.29.192.126 100.29.192.127 100.29.192.14 100.29.192.19 100.29.192.2 100.29.192.20 100.29.192.23 100.29.192.25 100.29.192.27 100.29.192.29 100.29.192.30 100.29.192.31 100.29.192.38 100.29.192.39 ...

Achso... was ich auch noch empfehlen kann:

Eine Info sobald sich (erfolgreich) eingeloggt oder sudo genutzt wird.