Hallo an alle, FAIL2BAN wir benutzen in (Teilen) der Physik für Linux bei ssh-Ports, die offen sind, fail2ban, was dann bei Robot-Angriffen die IP sperrt. Eigentlich sehr gute Erfahrungen damit, kommt natürlich dann auch mal vor, dass Nutzer zu oft hintereinander ihr PW falsch eintippen (bzw. ihre Keys falsch haben) und sich dann aussperren. Sie schicken dann i.d.R. uns eine Email mit ihrer IP, dann trägt man die wieder aus der Sperrliste aus, oder das passiert nach einer Karenzzeit automatisch. https://www.fail2ban.org/wiki/index.php/Main_Page Grüße,Th.
Am 17.04.2020 um 13:59 schrieb Jens Hektor <hektor@itc.rwth-aachen.de>:
Wir betreiben auch einen kleinen SSH-Honeypot, der die versuchten Passworte abspeichert.
Das Ding wurde seinerzeit von Jan Göbel entwickelt, Nils Neumann war ebenfalls dran (oder war es andersrum), ich hab das Ding vor ein paar Jahren mal IPv6 fähig gemacht.
Attached habe ich mal die Hitliste der Passworte aus dem vorigen Monat. Ich hoffe, keiner findet sein Lieblingspasswort.
Insgesamt hatten 115K Einträge, knapp 18K verschiedene Passworte.
Zugriffe erfolgten aus ca. 2K verschiedenen Class-C's.
76K Zugriffe erfolgten aus zwel Class-B's von den Cloud Providern Tencent und Digital Ocean.
134.209.0.0/16 134.175.0.0/16
Top 10 der getesteten 207 verschiedenen Accounts:
106916 root 3402 admin 924 ubnt 328 user 221 test 203 guest 191 oracle 184 ubuntu 125 22 120 debian <honeypot-passwords-202003.txt.gz>_______________________________________________ rwth-security mailing list -- rwth-security@lists.rwth-aachen.de To unsubscribe send an email to rwth-security-leave@lists.rwth-aachen.de
-- Mit besten Grüßen/With kind regards, Thomas Kreß, RWTH Aachen, III. Physikalisches Institut, Lehrstuhl B Office: 28A-206, Phone: +49 241 80 27281, Fax: +49 241 80 22244 Email: thomas.kress@physik.rwth-aachen.de Signed with a certificate issued by RWTH Aachen/DFN CA