[Eisfair] Last LogIn Befehlt defekt
Marcus Roeckrath
marcus.roeckrath at gmx.de
So Jun 2 09:06:33 CEST 2019
Hallo Daniel,
Daniel Kubein wrote:
>>>> Hast du eine feste öffentliche IP?
>>>
>>> Via DynDNS.
>>
>> Ok, die sich aber damit wohl regelmäßig ändert, oder?
>
> Ja, meine schon, die die dann aber vom DynDNS selber kommt
> dürfte ja immer gleich sein, weil der Name ja immer gleich aufgelöst
> wird.
Falsch, deine öffentliche IP bekommst du von deinem Provider. Bei DSL mit
täglicher Zwangstrennung bekommt man praktisch jeden Tag eine andere IP,
seit ich Glasfaser habe, habe ich wochenlang die gleiche.
Hier komt jetzt DynDns ins Spiel; der gibt dir keine IP sondern sorgt
lediglich dafür, dass deiner derzeit aktuelle IP unter einen Namen
verfügbar ist, indem er diese Verknüpfung im DNS-System einträgt.
Ändert sich deine IP muss genau diese Verknüpfung zeitnah aktualisiert
werden, was üblicherweise der eigene Router erledigt, denn der weiß ja
genau, wann er eine neue IP erhalten hat.
>> Kannst du auch zu meinen weiteren Fragen etwas sagen:
>>
>> Findest du in älteren messages-Logs gleiche/ähnliche Einträge?
>
> Ich scheine unter Dauerbeschuß zu stehen!
Ja.
>> Kommen die immer von der gleichen IP?
>
> Nein.
>
> Jun 2 01:29:56 superkubi sshd[13494]: Unable to negotiate with
> 78.85.139.104 port 40006: no matching key exchange method found. Their
> offer: diffie-hellman-group1-sha1,diffie-hellman-group14-sha1 [preauth]
Der komt mit inzwischen abgeschalteten - weil unsicheren Methoden - rein und
kommt dann schonmal garnicht zur Authentifizierung.
> Jun 2 02:30:00 superkubi sshd[13668]: Invalid user admin from
> 193.32.163.89 port 47874
Der probiert mal einen Usernamen aus ...
> Jun 2 02:30:00 superkubi sshd[13668]: pam_unix(sshd:auth): check pass;
> user unknown
den es nicht gibt.
> Jun 2 02:30:02 superkubi sshd[13668]: Failed password for invalid user
> admin from 193.32.163.89 port 47874 ssh2
> Jun 2 02:30:04 superkubi sshd[13668]: Disconnecting invalid user admin
> 193.32.163.89 port 47874: Change of username or service not allowed:
> (admin,ssh-connection) -> (user,ssh-connection) [preauth]
IMHO sind das Scanversuche aber keine direkten Angriffe auf dich.
Gegen sowas helfen nur starke Passwörter.
Du könntest auch die ssh-Verbindung auf einem anderem Port nutzen, indem du
auf dem Router die Portweiterleitung anpasst: z. B. externer Port 10000 auf
intern Port 22.
Dann musst du von außerhalb natürlich deinem ssh-Client sagen, dass er sich
auf Port 10000 verbinden soll.
--
Gruss Marcus
Mehr Informationen über die Mailingliste Eisfair