SSH-Wörterbuchangriffe aus den Niederlanden
Bei der Lektüre meiner Logfiles fiel mir gestern auf, daß sich da jemand wohl einmal durchs Wörterbuch zu raten versuchte, beginnend mit root, dann weiter über ftp, mysql, daemon etc. bis hin zu test, temp, bill, martin, sekretariat, x737 und zzz, insgesamt knapp 1.000 Versuche. Interessanterweise habe ich dasselbe Phänomen auf einer weiteren Maschine feststellen können, die auch im Hostingnetz von Strato steht - Server bei anderen Hostinganbietern waren nicht betroffen. In beiden Fällen gingen die Versuche von ein- und derselben IP aus, nämlich 195.242.98.180, und liefen vom 02.02.2009 21:27 bis 21:42 bzw. 22:05 Uhr. Die IP gehört lt. whois zu
netnum: 195.242.98.0 - 195.242.99.255
netname: INTERNETWORX
descr: InterNetworx Network
org: ORG-IA541-RIPE
mit Sitz - vermutlich - in den Niederlanden; die angegebenen Mailadressen waren aber alle - möglicherweise fehlkonfigurationsbedingt - nicht erreichbar. Erwähnenswert vielleicht noch, daß auf beiden angegangenen Maschinen der sshd auf einem nicht standardisierten Port lauscht, was das Logfile bisher eigentlich angenehm rauschfrei gehalten hat. Dem Wörterbuchangriff muß also ein Portscan vorausgegangen sein.
Wenn wir mal davon absehen, daß das vielleicht doch für die Zukunft irgendwann einmal nach fail2ban und Konsorten schreit: Ist sonst noch jemanden vergleichbares (damit meine ich dieselbe Ausgangs-IP und einen ähnlichen Zeitraum, vielleicht auch gegen eine bei Strato gehostete Maschine) aufgefallen? Oder hat gar jemand einen Verantwortlichen erfolgreich kontaktieren können?
(Disclaimer: Ich weiß, daß solche Aktionen grundsätzlich nichts besonderes sind. Ich finde allerdings, daß der konkrete Fall - Aufsuchen eines ungewöhnlich plazierten sshd, Aktionen vom selben Host aus nahezu parallel gegen zwei Maschinen beim selben Anbieter - zumindest insoweit aus dem üblichen Rahmen fällt, daß mich interessieren würde, ob das bei mir zwei Zufallstreffer sind oder es eine gezielte Aktion gegen den betreffenden Anbieter war.)