[Eisfair] E1/BFB: SSH-Angriffe nur teilweise geblockt
John F.
john.f at wolke7.net
Mi Mär 4 11:21:30 CET 2026
Am 03.03.2026 um 18:55 schrieb Rolf Bensch:
> Am 03.03.26 um 17:57 schrieb John F.:
>> in meinem Log (/var/log/messages) sehe ich seit Längerem fast
>> minütliche Loginversuche per SSH als root, was fehlschlägt da der SSH-
>> Login als root abgeschaltet ist.
> ist der ssh "von außen" erreichbar?
Ja
>> Aus einem mir unbekannten Grund werden diese Angriffe aber nur
>> teilweise von BFB geblockt, obwohl viele IP-Adressen über 20 mal im
>> Log auftauchen. Sowie ich BFB verstanden habe, sollte schon nach 6 mal
>> geblockt werden.
> Wie seht denn so ein Login-Versuch in /var/log/messages aus? Respektive
> weshalb wurde der Login-Versuch abgewiesen? Ist denn das ein Grund
> weshalb BFB agieren sollte?
Mar 4 06:06:33 server sshd-session[10302]: Failed password for root
from 154.125.147.88 port 56801 ssh2
Mar 4 06:06:35 server sshd-session[10302]: Received disconnect from
154.125.147.88 port 56801:11: Bye Bye [preauth]
Mar 4 06:06:35 server sshd-session[10302]: Disconnected from
authenticating user root 154.125.147.88 port 56801 [preauth]
Wegen SSH_PERMITROOTLOGIN='no' in /etc/config.d/ssh wird jede Anmeldung
per SSH mit dem User root abgelehnt und sollte m.E. auch von BFB erkannt
und die IP geblockt werden.
> Gibt es vielleicht in der Konfiguration eine Ausnahme für diese IP-
> [Gruppe] wie z.B. BFB_BOT_FREE_IP_NET
Nein, nur das interne Netz ist "free".
Dank und Grüße
John
Mehr Informationen über die Mailingliste Eisfair