Port Scans

Der ganz normale Wahnsinn im Alltag eines Servers am Internet.

Dies ist eine kurze Zusammenfassug anläßlich eines [auf der Wien-liste] (Mitte Juli 2009)

• Warum "passieren" Port Scans?

Allerdings ist nicht Leuten einfach nur fad (die mag es auch geben), sondern da suchen Tools automatisch nach Hosts, die man übernehmen kann (mit bekannten Exploits. Am Error-Log von HTTP-Servern sieht man auch, bei welcher Webapplikation - oder Serversoftware? - es wohl Exploits gab/gibt.). Wenn man so einen gefunden und gecrackt hat, wird er für als Spamschleuder oder Soldat für distributed Denial of Service Attacks u.ä. eingesetzt. Natürlich versucht der "Übernehmer" tunlichst unerkannt zu bleiben, d.h. er nichts kaputt machen oder löschen - sonst merkt einer vielleicht was. Und damit es gibt Leute, die vom Spammen u.ä. leben und das ist für manche damit ein ganz normales Geschäft.

• Was tun?

...ist es mbMn das *mindeste*, (Gratis-)Updates der Distribution oder des Herstellers (Hallo, Win-* Benützer!) zu installieren.

Aber irgendwann werden Portscanner eingesetzt werden, um sowas zu finden.

"PermitRootLogin no" sollte sowieso drin sein.

"AllowUsers" im /etc/ssh/sshd_config einsetzen (normalerweise sollten System-Accounts eh nicht einlogbar sein, aber es schadet nichts ....)

"sshd: ALL" in /etc/hosts.deny rein und in /etc/hosts.allow die

 IP-Adressen/Netze erlauben, von denen man überhaupt einloggen darf.

Es gibt Tools wie http://www.fail2ban.org/wiki/index.php/Main_Page.