Oct 19 14:51:50 (none) kern.info dropbear[5466]: Child connection from 61.185.11.82:63070
Oct 19 14:51:51 (none) kern.info dropbear[5466]: exit before auth: Exited normally
Oct 19 15:07:52 (none) kern.info dropbear[8850]: Child connection from 74.143.42.70:44361
Oct 19 15:07:53 (none) kern.info dropbear[8850]: exit before auth: Exited normally
Oct 19 17:09:14 (none) kern.info dropbear[2348]: Child connection from 208.53.143.180:55960
Oct 19 17:09:15 (none) kern.info dropbear[2348]: exit before auth: Exited normally
Oct 19 18:08:29 (none) kern.info dropbear[9321]: exit before auth: Disconnect received
Ich habe die IPs mit utrace lokalisisert und landete in Shanghai und in den USA. Mit ein bisschen Suchen kam ich darauf, dass es wohl ein Botnetz sein muss und scannte die IPs. Es war recht viel offen, darunter ftp, ssh, dns, http und https. Logins scheiterten jedoch, wiesen jedoch daraufhin, dass es Linux-Maschinen sind.
Schließlich begrenzte ich die ssh-attempts mit einer Firewallregel auf meinem Router auf maximal zwei pro Minute:
iptables -I INPUT -p tcp --dport 22 -i vlan1 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i vlan1 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP
Offensichtlich grasen die Bots IPs ab und versuchen ihr Glück, eine Maschine zu entern. Meine jedoch nicht...
