Pastacode Informatik Blog

Kaum ist ein Ssh-Server mit Port 22 am Netz, wird dieser bombardiert vom Grundrauschen des Internets. Verseuchte Rechner probieren scheinbar wahllos Benutzer und Passwort-Kombinationen zufälliger IP’s, um weitere “Zombies” zu rekrutieren. Auch wenn ein Login wohl selten gelingt, scheint die gefühlt gestiegene Anzahl fehlerhafter Login’s in den Logs des Servers, auf dem diese Seite hier gehostet wird, dafür zu sprechen, das diese primitive Form des Bruteforcens sich mehr den je lohnt.
Angeregt von einem Reddit-Post, wollte ich mal schauen wieviele fehlgeschlagene Login-Versuche besagter Server mittlerweile verbuchen kann. In /var/log wird in der Datei authlog festgehalten (zumindest unter Gentoo, andere Systeme können leicht abweichen), wenn ein Fehllogin festgestellt wird. Bei eingeschaltetem Logrotate, kann man nun folgendermaßen prüfen wie viel Fehllogins in den gespeicherten Logs sich angesammelt haben:


server1 log # zgrep "Invalid user" /var/log/authlog* | wc
139059 1390590 13655520
server1 log #


Wow, fast 140000 Fehllogins für einen Zeitraum von 42 Tagen. Ungefähr 3000 pro Tag

Wo bliebe der Spaß, wenn man sich nicht auch die Usernames mal (in sortierter Reihenfolge ohne Duplikate) anzeigen lassen kann?


server1 log # zgrep "Invalid user" /var/log/authlog* | awk '{print $8}' | sort | uniq


Unter debian müsste der Befehl so aussehen:

zgrep "invalid user" /var/log/auth.log* | awk '{print $11}' | sort | uniq


Gegebenfalls muss man sich die Spaltennummer (nach dem Dollar) und den Dateinnamen der Authlog anpassen.

Bei mir ergibt das eine lange Liste, die man sich hier runterladen kann.

Na… ist euer Ssh-Account auf der Liste?

Tags: Bruteforce, Fun, Linux, Server, Ssh

This entry was posted on Mittwoch, März 18th, 2009 at 11:39 pm and is filed under Fun, Linux, Server. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.