Wer sich einmal die Logdateien von öffentlich zugänglichen SSH-Servern ansieht, trifft immer wieder auf Verbindungsversuche, die der Service mit der Fehlermeldung "Bad protocol version identification" beendet. Hierbei handelt es sich in den meisten Fällen um Clients, die nach dem Zufallsprinzip Server kontaktieren, um dort Malware zu platzieren. Ob überhaupt ein passender Service auf der Gegenseite lauscht, interessiert den Angreifer meistens nicht – er versucht einfach, mittels Brute-Force möglichst viele Rechner zu kontaktieren, um dann zumindest auf einigen Rechnern einen verwundbaren Service zu finden, um hierüber dann die Malware auf das System laden zu können.
Andere Fehlermeldungen sind beispielsweise "Failed password" or "Invalid user", bei denen ein Benutzer (oder ein Angriffstool) tatsächlich versucht, sich auf dem Server mittels SSH anzumelden. Diese Zugriffsversuche können je nach Konfiguration des Servers sehr schnell zum Erfolg führen und sollten in jedem Fall unterbunden werden.
Zum einen sollte natürlich mit einer korrekten Konfiguration des SSH-Servers begonnen werden. Hier bietet es sich beispielsweise an, eine Anmeldung mit Hilfe eines Passworts zu verbieten. Benutzer müssen dann beispielsweise über einen entsprechenden öffentlichen Schlüssel oder ein Kerberos-Ticket verfügen, damit die Anmeldung auf dem Server funktioniert. Auch sollte das direkte Login mit dem Root-Account oder einem anderen System-Konto nicht möglich sein. Ansonsten erspart man potenziellen Angreifern die Hälfte der Arbeit, da diese nur noch das Passwort herausfinden müssen – der Benutzername "root" ist ja bereits allgemein bekannt.
Auf die SSH-Protokoll-Version 1 lässt sich auch verzichten, also kann sie auf dem Server komplett abgeschaltet werden. Eine weitere sinnvolle Maßnahme besteht darin, den Server nicht auf dem Standard-SSH-Port 22 zu betreiben, wenn dies denn möglich ist. Somit
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.