Dieser Beitrag soll zeigen, wie Angriffsversuche heute tatsächlich aussehen. Hier ein Ausschnitt von meinem Anmelde-Log: tail /var/log/auth.log | grep „invalid“
Man sieht schon auf den ersten Blick, das die IP „115.248.8.65“ sich häufig beim Login vertan hat 🙂
Um zu sehen wie viele Login Versuche es gab können wir folgende Befehle eingeben:
grep "invalid" /var/log/auth.log | wc -lDas ergibt 7910 fehlgeschlagene Anmeldeversuche!
Dann:
grep "invalid" /var/log/auth.log | awk '{print $(NF-3)}' \
| sort | uniq -c | sort -nr | headDas ergibt 451 Anmeldeversuche von „115.248.8.65“
grep "invalid" /var/log/auth.log \
| awk -F'T' '{print $1}' \
| sort | uniq -cDas ergibt so viele Anmeldeversuche pro Tag :
Wie kann ich mich schützen?
1 . Nie einen Login durch Passwörter zulassen. Immer ssh-keys verwenden!
2. fail2ban verwenden. Das ist eine kostenlose Software, die automatisch IP Adressen sperrt, wenn zu viele fehlgeschlage Logins stattgefunden haben.
Schreibe einen Kommentar