Servus liebe netcup-Gemeinde,
ich bin mir nicht ganz sicher, ob ich der erste oder einzige bin, bei dem dieses unliebsame Phänomen auftritt, oder ob auch andere betroffen sind. Ich schildere mal grob den Tathergang:
Sonntag, 6 März 2011: 6:59:35 - 21:18:32 UTC: Tausende Bruteforce-Attacken im Abstand von 0.2sek auf alle öffentlich verfügbaren Dienste meines Debian-vServers bei netcup von der IP eines gekaperten Servers aus Italien.
Montag, 7 März 2011: 1:35:25 - 17:23:25 UTC: Bruteforce-Scan auf den SSHD von einem Server in HongKong
Dienstag, 8. März 2011: 0:31:12 - 16:47:31 UTC: Bruteforce-Scan auf alle Dienste aus den USA
...
bis Freitag, 11.03.2011: 2:28:11 UTC: Immer wieder wiederholte Bruteforce und Exploit-Scans auf meinen Server von diversen IPs aus Russland, China, Korea (ja, sogar ein Ägypter war dabei...) bis mir hier jetzt der Kragen platzte und ich kurzerhand komplette Class-A-Blöcke aus besagten Staaten auf die Firewall setzte.
Aktuell ist Ruhe - alle Anfragen werden schon an der Firewall geblockt. Doch auf Dauer ist das natürlich wohl kaum eine Lösung.
Ich wende mich deshalb mit einem Gesuch um einen klugen Rat an euch: was soll ich dagegen tun? Meine nächsten Schritte, die ich eigentlich meinte mir sparen zu können, wären dann fail2ban mit VCP-Script, Mail-Reporting der Auth-Aktivität und im schlimmsten Falle kompletten Block des SSH-Zugangs für alle außer ein paar statischen IPv6-IPs (die kann ich über einen anderen Server routen). Meine Passwörter und Accounts sind zwar entsprechend sicher gestaltet (root-Login ist komplett deaktiviert), dennoch fühle ich mich nicht wohl bei dem Gedanken, ins Bett zu gehen während andere Leute Scans auf meinen Server durchführen.
Mit freundlichen Grüßen,
Dominik Bayerl