Login versuche auf Port der nicht weitergeleitet... [gelöst]

[chr.gogolin]

Seit gestern habe ich auf einem Debian System welches lediglich über drei verschachtelt und mit NAT Routern getrennte Netzwerke die je nur Port 22 nach 22 weitergeleiten aus dem Internet zu erreichen sein sollte, die folgenden log Einträge:

Code: Alles auswählen

Dec 25 21:36:47 srv01 sshd[25384]: Disconnecting: Too many authentication failures for invalid user root from 191.176.24.221 port 40209 ssh2 [preauth]
Dec 25 21:44:04 srv01 sshd[25473]: Disconnecting: Too many authentication failures for invalid user admin from 112.254.100.46 port 8645 ssh2 [preauth]

Ich verstehe nicht wie diese Login-Versuche zustande kommen können. Muss dafür jemand entweder den innersten NAT Router übernommen haben, oder der Angreifer im innersten LAN sitzen? Und warum lauscht ssh2 überhaupt auf diesen ports?

[sbruder]

Also, wenn ich Dich richtig verstanden habe, ist Port 22 nach außen geöffnet. Das heißt, dass es keinem große Schwierigkeiten bereiten dürfte sich auch auf deine Kiste zu verbinden. Bitte installiere und konfiguriere fail2ban, das kann nie Schaden!

[chr.gogolin]

Ja, über port 22 kann man sich ausschließlich per public key authentication und auch nur als Benutzer (nicht als root) per ssh verbinden. Fail2ban ist außerdem installiert. Über Port 22 kommen auch, wie zu erwarten, regelmäßig Loginversuche, die aber scheitern und dann im bann der jeweiligen IP resultieren.

Ich verstehe nur nicht woher auf einmal die Loginversuche auf den anderen ports kommen, die von außen nicht erreichbar sein sollten.

[sbruder]

Das sind die abgehenden Ports von den Clients, nicht der Port auf dem der sshd lauscht.

[chr.gogolin]

Ah! Dachte mir doch dass ich was offensichtliches übersehen habe. Danke!

[Colttt]

Nur so um das "rauschen" in den logs und den Scriptkiddies es etwas schwerer zu machen nimm doch einen anderen Port, Bsp 2345