Hallo,

ich administriere einen root-Server mit CentOS, auf dem als BruteForce-Schutz Fail2Ban läuft - und das eigentlich ziemlich gut. Fail2ban übermittelt alle gebannten IP's an Blocklist.de und an mich, zu Debuggingzwecken.
Seit einiger Zeit jetzt schon kriege ich regelmäßig Meldungen zu IP-Adressen von Strato - aus deren Dedicated-Server-IP-Range, und angesichts der Logfiles kann ich nicht behaupten, dass dies False Positives wären. Da werkelt also meines Erachtens entweder ein Blackhat oder ein Bot - und ich weiß nicht, was wahrscheinlicher und was besorgniserregender ist - im Rechenzentrum von Strato.
Logwatch bestätigt mir die fehlgeschlagenen Loginversuche per SSH ebenfalls: Fünf pro Tag, von derselben IP, danach macht Fail2ban für 24 Stunden für die IP alles bei uns dicht. Tags darauf wieder dasselbe Spiel - es passiert also nix seitens Strato, obwohl ja Blocklist.de abuse-reports an die Serverbetreiber schickt - und ich bin nicht der einzige, der diese IP an blocklist.de sendet.
Mir ist schon klar, dass starke Passwörter und z.B. ein blockierter root-Login (nur per su oder sudo auf der SSH) das Problem quasi umgehen. Aber neugierig bin ich trotzdem, was da im RZ von Strato vorgeht.
Auch die Subdomains von serverkompetenz.net sind betroffen, welche ja, falls ich nicht total falsch liege, auch zu Strato gehören.
Sollte ich da mal anrufen und gezielt nach dem Problem fragen? Meint ihr, ich finde Gehör (Wenn mich jemand anrufen würde, und mir sagt, dass mein Server kompromittiert ist, dann würde ich meinen Server umkrempeln und auf links drehen, bis ich was finde)? Oder ist das den Aufwand nicht wert?
Danke für eure Erfahrungen und Ratschläge.
Logauszug (Zensiert wegen Privatsphäre und fehlendem Bock darauf, verklagt zu werden):

Code: Alles auswählenAufklappen

ATTFilter

sshd:
    Authentication Failures:
****
       root (h*******.stratoserver.net): 3 Time(s)
****
         

Dieser hier hat sich nicht am Fail2ban gestoßen, da er ja nur dreimal versucht hat, reinzukommen.

hi,
klar anfragen kostet ja nichts.
mal hier hinmailen, mit Serverlogs:
abuse@strato.de
abuse-server@strato.de
außerdem mal deine ssl ports ändern

Läuft der sshd auf dem Standardport 22 bei dir? Wenn ja, sind solche Loginversuche von Bots quasi vorprogrammiert. Die Loginversuche sind aber alles nur IP-Adressen, die du Strato zuordnen kannst?

Ich hatte mal "zum Rumspielen" meinen heimischen Linuxrechner mit sshd auf Port 22 ausgestattet und von denyhosts überwachen lassen. Sehr oft wollten irgendwelche Chinesen oder Koreaner auf meinen Rechner

cosinus: Ja, der Server läuft auf Port 22 - aber da "die" versuchen, sich als root einzuloggen, ich root jedoch für den SSH-Zugriff gesperrt habe, macht mir das keine Kopfschmerzen (Außerdem habe ich ja fail2ban laufen).
markusg: Ich bin bei blocklist.de, die senden solche Abuse-Reports automatisch an die Provider.
Habe ehrlich gesagt keine große Angst, dass einer dieser Bots mein Passwort knackt - wie gesagt, dazu müsste er erst einmal einen der "normalen" User-Accounts knacken (heißt im Klartext meinen, weil alle anderen wie Postfächer und FTP-Logins keinen SSH-Access haben), was schwer wird, weil der nicht einfach thelinuxist oder christian heißt (Somit haben Bots auch keine Chance, wenn sie einfach alle Vornamen durchprobieren. So einer hat bei mir mal vorbeigeschaut, der war auch aus China).
Worum es mir eher geht ist folgendes: Wir sind bei Strato. Das heißt, möglicherweise wären wir betroffen, wenn eine IP oder gleich die ganze IP-Range von Strato gesperrt und gemeldet wird, außerdem weiß ich nicht, ob und wie wir gegen Lokalnetzwerk-Attacken geschützt sind (also vom RZ von Strato ins RZ von Strato).
Außerdem natürlich die krassen Rufeinbußen für die Firma Strato - mich wundert das schon, ich meine, das ist eine Riesenfirma, die werden ja wohl ihre Server sicher halten und ihren Kunden ein notwendiges Sicherheitsbewusstsein vermitteln können?
SSH-Ports werd' ich wohl ändern, auch wenn ja abgesehen von der Aufblähung meines Logfiles und meinen ernsten Bedenken über die Seriösität von Strato (Sorry, aber wie bereits früher gesagt, wenn bei mir was auf die abuse@ kommt, dann wird dem nachgegangen und erst dann wird Feierabend gemacht) ist ja kein Schaden entstanden.
Danke für eure Hinweise.

Hast du Strato dazu mal angerufen?