IP Spoofing?

[petrolman]

Hallo,
ich habe seit heute 02:08 Uhr sehr viele SSH-Login Versuche von den unterschiedlichsten IP-Adressen. Bisher war es so, dass eine IP-Adresse automatisch vom Paketfilter nach 3 SSH- oder FTP-Login Fehlversuchen für ein paar Tage gesperrt wurde. Auffällig ist nun, dass jede IP-Adresse nur noch zweimal erscheint und daher dieser Filter nicht mehr greifen kann.

Ein Eintrag sieht in /var/log/messages z.B. so aus:

Code: Alles auswählen

Invalid user drsmith from 200.21.228.80
Jun 17 10:42:22 sshd[7298]: error: PAM: User not known to the underlying authentication module for illegal user drsmith from 200.21.228.80
Jun 17 10:42:22 sshd[7298]: Failed keyboard-interactive/pam for invalid user drsmith from 200.21.228.80 port 14537 ssh2

Da die IP-Adressen nur noch zweimal verwendet werden, drängt sich mir der Verdacht auf, dass es sich um eine Person handelt, die die Quell-IP-Adresse manipuliert? Was hat derjenige dann davon? Die Antwortpakete kämen bei ihm nicht an und für ein SYN-Flooding erscheinen die Anfragen wiederum zu langsam (zwischen 1-12 Sekunden).

[DeletedUserReAsG]

Wahrscheinlich ist eher ein Botnet mit vielen Clients, die dann jeweils nur zweimal auf eine Ziel-IP gehen.

cu,
niemand

[petrolman]

Es sieht so aus, als wenn erst einmal überprüft wird, ob der SSH-Benutzername überhaupt existiert. Weiß jemand ob sshd bei einem existierenden Benutzernamen "etwas" anderes zurücksendet als bei einem unbekannten Benutzernamen, auch wenn in beiden Fällen das falsche Paßwort verwendet wird?

[DeletedUserReAsG]

Nein, es verhält sich in beiden Fällen gleich. Gab mal einen Ansatz, über das Timing herauszufinden, ob der User nicht existiert, oder das PW falsch ist. Das war vor ein paar Jahren, sollte heute nicht mehr gehen.

cu,
niemand