toor
Bruchpilot
Hi Leute!
Habe gerade meine auth.log angesehen und folgendes entdeckt:
Der "Angreifer" blieb beim Anmelden über ssh erfolglos, auch habe ich eine Firewall (ipfw) eingerichtet, was aber natürlich nicht bedeutet, das der "Angreifer" doch anderweitig ins System eindringen konnte.
Wie kann ich in Zukunft schneller derartige Vorfälle entdecken, bzw nachvollziehen?
Ich habe mich bis jetzt nicht mit Intrusion Detection Software befasst, kann mir jemand entsprechende Software und Sheets zu diesem Thema empfehlen?
Vielen Dank im Voraus!
Habe gerade meine auth.log angesehen und folgendes entdeckt:
Code:
...
Jul 16 18:14:09 ghostmachine sshd[93333]: Illegal user baltazar from 202.181.163.196
Jul 16 18:14:12 ghostmachine sshd[93337]: Illegal user basil from 202.181.163.196
Jul 16 18:14:17 ghostmachine sshd[93343]: Illegal user beatrice from 202.181.163.196
Jul 16 18:14:20 ghostmachine sshd[93347]: Illegal user bella from 202.181.163.196
Jul 16 18:14:23 ghostmachine sshd[93351]: Illegal user bianca from 202.181.163.196
... usw
Der "Angreifer" blieb beim Anmelden über ssh erfolglos, auch habe ich eine Firewall (ipfw) eingerichtet, was aber natürlich nicht bedeutet, das der "Angreifer" doch anderweitig ins System eindringen konnte.
Wie kann ich in Zukunft schneller derartige Vorfälle entdecken, bzw nachvollziehen?
Ich habe mich bis jetzt nicht mit Intrusion Detection Software befasst, kann mir jemand entsprechende Software und Sheets zu diesem Thema empfehlen?
Vielen Dank im Voraus!