Hackerangriffe auf SSH Login feststellen

  Home     Server     Elektronik     Audio&Licht     Links     Kontakt  


Wenn man selber einen Server einrichtet, muss man sich mit der Sicherheit befassen. Einstellungen am Router, der Firewall und dem Webserver sind nötig. Möchte man sogar von der Ferne übers Internet zugreifen, wird es heikel. Trotz sicherem System muss man sich auch mit Hackerangriffen auseinandersetzen. Siehe dazu den Beitrag über den sicheren SSH Fernzugang. Wichtig ist aber auch das System zu überwachen. Dazu gehört dass man Hackerangriffe überhaupt feststellt.

Ein kleines Script prüft, ob fehlerhafte Loginversuche stattgefunden haben, indem es als root mit dem Kommando lastb -n 15 die letzten 15 fehlgeschlagenen Loginversuche auflistet, speichert und vergleicht mit der letzten gespeicherten Liste. Gibt es eine Veränderung, hat ein fehlerhafter Loginversuch stattgefunden.

Das Script mit dem Namen checkhack.sh (mit rechter Maustaste speichern) wird als root ins Verzeichnis /etc/cron.hourly kopiert und ausführbar gemacht (als root, chmod +x /etc/cron.hourly/checkhack.sh). Damit wird es jede Stunde gestartet. Wird ein Unterschied festgestellt, sendet es eine Mail an die im Script eingetragene Mail Adresse (muss im Script angepasst werden). Dazu muss ein Mail-Agent laufen (z.B. postfix).

Zum testen einfach einmal auf der Konsole einloggen und ein falsches Passwort eingeben. Danach (als root ) /etc/cron.hourly/checkhack aufrufen. Erhält man die Mail, ist alles okay.


© 2022-2024 by Stefan Ludescher