Internet door Ziggo geblokkeerd

Even een update: inmiddels eindelijk weer internet. Maar zeker niet door medewerking van Ziggo. Obv de logfile van abuse is mijn vermoeden dat het 1 van mijn raspberry's is die deze blokkade veroorzaakt.Ik heb daarom zelf ziggo gebeld (voor de 5de keer) en voorgesteld om deze twee RB offline te halen. Dat was schijnbaar voldoende om het derde deblokkeringsverzoek goed te keuren. So far so good. Echter hoe nu verder? Ik weet dat een clean install van mijn RB het beste is echter ik zou ook willen weten welke van de twee het is. Is er een stappenplan om toch 1 van de twee RP weer online te brengen (mijn hoofdserver) en te scannen op virussen en malware. Betere beveiliging (ssh enz.) aan te brengen en dan door te draaien zonder clean install. De configuratie van mijn domoticz is behoorlijk uitgebreid en gecompliceerd dus een clean install is het laatste waar ik op zit te wachten (zonder dat ik zeker weet dat dit ook de boosdoener is) maar ik wil uiteraard ook niet dat ik weer afgesloten wordt. Is er bijv. een tool waarmee ik hetzelfde kan constateren wat ziggo abuse ook constateert (onbedoeld verkeer naar de buiten wereld) voor raspberry's? Ik lees bijv. over ClamAV en rootkithunter voor de RB maar geeft dit voldoende zekerheid? Hoe kan ik uitsluiten dat 1 van de twee RB de oorzaak is?
Ik heb zowieso alle poorten naar buiten inmiddels dichtgezet op mijn timecapsule dus daar kan het niet meer aan liggen.
 
Mocht je poort 22 vanuit buiten ooit nog willen openzetten doe dat dan alleen op basis van keys.
En zorg ervoor dat root nooit op basis van keys mag binnen komen, dan ben je al aardig beschermd.
 
Even een update: inmiddels eindelijk weer internet. Maar zeker niet door medewerking van Ziggo. Obv de logfile van abuse is mijn vermoeden dat het 1 van mijn raspberry's is die deze blokkade veroorzaakt.Ik heb daarom zelf ziggo gebeld (voor de 5de keer) en voorgesteld om deze twee RB offline te halen. Dat was schijnbaar voldoende om het derde deblokkeringsverzoek goed te keuren. So far so good. Echter hoe nu verder? Ik weet dat een clean install van mijn RB het beste is echter ik zou ook willen weten welke van de twee het is. Is er een stappenplan om toch 1 van de twee RP weer online te brengen (mijn hoofdserver) en te scannen op virussen en malware. Betere beveiliging (ssh enz.) aan te brengen en dan door te draaien zonder clean install. De configuratie van mijn domoticz is behoorlijk uitgebreid en gecompliceerd dus een clean install is het laatste waar ik op zit te wachten (zonder dat ik zeker weet dat dit ook de boosdoener is) maar ik wil uiteraard ook niet dat ik weer afgesloten wordt. Is er bijv. een tool waarmee ik hetzelfde kan constateren wat ziggo abuse ook constateert (onbedoeld verkeer naar de buiten wereld) voor raspberry's? Ik lees bijv. over ClamAV en rootkithunter voor de RB maar geeft dit voldoende zekerheid? Hoe kan ik uitsluiten dat 1 van de twee RB de oorzaak is?
Ik heb zowieso alle poorten naar buiten inmiddels dichtgezet op mijn timecapsule dus daar kan het niet meer aan liggen.

Als ik dit soort dingen lees besef ik dat je er heel weinig van begrijpt. Nee er is er geen mogelijkheid om iets te scannen, je moet die dingen gewoon een clean install geven met nieuwe wachtwoorden en al of je dat nu leuk vind of niet! Goede les om de volgende keer beter op te letten lijkt me.

En als jou domotica zo gecompliceerd is had je allang een backup moeten hebben van die configuratie. En ik kan wel zeggen van joh ga met wireshark monitoren maar daar heb je absoluut de kennis niet voor, bovendien als je dingen zou zien is het alweer te laat. Het probleem is dat je niks kunt uitsluiten, ik zou alle wachtwoorden in je netwerk aanpassen ook van de router en van je computers Straks zijn er meer dingen gehackt. Nogmaals zet je standaard Ziggo modem gewoon weer in router mode zodat je niet afhankelijk bent van die apple timecapsule die mogelijk ook kwetsbaarheden bevat.

Het grote probleem is dat men vaak niet beseft dat als 1 apparaat in het netwerk malware bevat is het ook andere apparaten kan proberen te hacken of besmetten etc. Er zijn gevallen bekend waar zelfs de smart TV een backdoor heeft gekregen. Denk jij dat je de boosdoener gevonden hebt en uitgeschakeld, alles opnieuw geïnstalleerd komt die later gewoon weer keihard terug. Snap je dat IT-ers adviseren dat je IoT rommel beter in een apart netwerk kunt zetten, dat hoeft niet perse fysiek kan ook virtueel met VLANs maar dan moet je wel verstand hebben van netwerken. Als de IoT apparaten dan gehackt worden of malware bevatten kunnen ze in ieder geval niet met de rest van het netwerk verklooien. Verder heb je de poorten van buiten naar binnen dicht gezet en niet andersom.

En ik snap heus dat het leuk is om te hobbyen maar je moet ook stil staan bij beveiliging. Als jou rpi's geen internet nodig hebben haal dan de gateway instelling er uit. Dan kunnen ze in ieder geval niet zo maar met het internet praten.

En kom je er niet uit, haal er dan iemand bij die er echt verstand van heeft.
 
Dank voor je reactie. Boodschap is helder. Ik ga formatten en clean installen en een raspberry opnieuw inrichten met betere beveiliging (geen poorten open, geen standaard username, sudo met pasword, auto update, key based ssh auth, firewall en failtoban,enz. Volgens mij heb ik het dan dichtgetimmerd.
 
Opnieuw inrichten lijkt me het veiligste als je niet weet wat de dader is. Ik heb hieronder voor de aardigheid eens een stukje uit mijn DarkStat log geplaatst van de laatste 12 uur. Ik heb alle regels uitgefilterd waarbij alleen bytes binnenkomen en er niets uit gaat. Dit zijn de verbindingen die door de firewall tegengehouden worden zodat er geen reactie terug is.

Als ik dan naar de poorten kijk, gaat 80% naar poort 22 of 23. Dat zijn twee poorten die voor aanvallers het meest interessant zijn. Je ziet dat je de hele dag door aangevallen wordt door bots die een ingang zoeken.
Met up-to-date software zit je meestal wel veilig. Maar beter is het om die poort niet open te hebben omdat er toch steeds weer bugs in software ontdekt worden. Of als ze wel open staan, zoals bij mij, de firewall zo in te stellen dat alleen specifieke IP adressen toegang mogen krijgen. Alleen die adressen krijgen dan de mogelijkheid om een inlogpoging te doen.


24448

Maar naast open poorten kan een besmetting ook binnengekomen zijn via onbetrouwbare software op je PC of smartfoon.
 
Laatst bewerkt:
Fail2Ban is trouwens wel een goede optie, ik ban ze 28 dagen. Dit is wat ik binnen krijg vanaf 3 juni:

Failed logins:

< Jun 3 20:37:31 aterix sshd[3485]: error: maximum authentication attempts exceeded for root from 90.23.77.125 port 34258 ssh2 [preauth]
< Jun 4 10:30:03 aterix sshd[3916]: error: maximum authentication attempts exceeded for root from 216.24.173.152 port 51417 ssh2 [preauth]
< Jun 4 12:39:52 aterix sshd[5010]: error: maximum authentication attempts exceeded for invalid user ubnt from 177.55.51.9 port 54074 ssh2 [preauth]
< Jun 4 16:21:38 aterix sshd[6797]: error: maximum authentication attempts exceeded for root from 27.8.138.105 port 64585 ssh2 [preauth]
< Jun 5 12:07:25 aterix sshd[10197]: error: maximum authentication attempts exceeded for invalid user service from 180.102.137.68 port 32039 ssh2 [preauth]
< Jun 5 12:37:29 aterix sshd[10419]: error: maximum authentication attempts exceeded for invalid user admin from 42.239.138.116 port 38022 ssh2 [preauth]
< Jun 5 14:08:20 aterix sshd[11140]: error: maximum authentication attempts exceeded for root from 79.32.240.234 port 38925 ssh2 [preauth]
< Jun 5 15:23:54 aterix sshd[11761]: error: maximum authentication attempts exceeded for invalid user user from 180.126.197.211 port 47175 ssh2 [preauth]
< Jun 5 18:08:45 aterix sshd[13071]: error: maximum authentication attempts exceeded for invalid user service from 42.239.138.116 port 48021 ssh2 [preauth]
< Jun 5 21:16:05 aterix sshd[14632]: error: maximum authentication attempts exceeded for invalid user admin from 24.24.141.96 port 60264 ssh2 [preauth]
< Jun 6 06:34:01 aterix sshd[13516]: error: maximum authentication attempts exceeded for root from 123.235.138.177 port 57603 ssh2 [preauth]
< Jun 6 09:20:42 aterix sshd[14857]: error: maximum authentication attempts exceeded for invalid user mother from 112.122.99.222 port 30017 ssh2 [preauth]
< Jun 6 14:35:31 aterix sshd[17357]: error: maximum authentication attempts exceeded for invalid user admin from 45.236.209.114 port 4449 ssh2 [preauth]
< Jun 6 18:09:29 aterix sshd[2696]: error: maximum authentication attempts exceeded for root from 49.69.173.16 port 41496 ssh2 [preauth]
< Jun 7 00:05:30 aterix sshd[5542]: error: maximum authentication attempts exceeded for root from 110.188.33.75 port 33554 ssh2 [preauth]
< Jun 7 06:20:28 aterix sshd[2392]: error: maximum authentication attempts exceeded for root from 115.59.77.24 port 49364 ssh2 [preauth]
< Jun 7 07:43:33 aterix sshd[3330]: error: maximum authentication attempts exceeded for invalid user admin from 106.118.20.109 port 48054 ssh2 [preauth]
< Jun 7 08:47:44 aterix sshd[3829]: error: maximum authentication attempts exceeded for invalid user admin from 111.163.75.104 port 56337 ssh2 [preauth]
< Jun 7 10:34:43 aterix sshd[4594]: error: maximum authentication attempts exceeded for root from 168.0.155.148 port 4420 ssh2 [preauth]
< Jun 7 13:42:58 aterix sshd[6096]: error: maximum authentication attempts exceeded for root from 113.255.21.140 port 40471 ssh2 [preauth]
< Jun 7 14:59:03 aterix sshd[6628]: error: maximum authentication attempts exceeded for root from 218.74.2.145 port 44317 ssh2 [preauth]
< Jun 7 15:14:12 aterix sshd[6782]: error: maximum authentication attempts exceeded for root from 183.157.169.185 port 54619 ssh2 [preauth]
< Jun 7 17:14:04 aterix sshd[7703]: error: maximum authentication attempts exceeded for root from 116.103.172.23 port 44634 ssh2 [preauth]
< Jun 7 20:09:51 aterix sshd[9096]: error: maximum authentication attempts exceeded for root from 119.1.92.182 port 44907 ssh2 [preauth]
< Jun 7 20:47:24 aterix sshd[9380]: error: maximum authentication attempts exceeded for root from 78.23.145.235 port 55657 ssh2 [preauth]
< Jun 7 20:48:32 aterix sshd[9384]: error: maximum authentication attempts exceeded for invalid user admin from 123.121.17.192 port 34274 ssh2 [preauth]
< Jun 8 01:51:05 aterix sshd[4692]: error: maximum authentication attempts exceeded for invalid user supervisor from 220.246.61.212 port 39899 ssh2 [preauth]

Banned logins:

< 2019-06-03 06:41:40,621 fail2ban.actions [1290]: NOTICE [ssh] Unban 92.154.98.28
< 2019-06-03 12:20:39,567 fail2ban.actions [1290]: NOTICE [ssh] Unban 92.220.189.110
< 2019-06-03 13:43:26,340 fail2ban.actions [1290]: NOTICE [ssh] Unban 89.43.156.91
< 2019-06-03 19:46:54,088 fail2ban.actions [1290]: NOTICE [ssh] Ban 95.24.202.39
< 2019-06-03 21:22:17,992 fail2ban.actions [1290]: NOTICE [ssh] Unban 60.12.75.140
< 2019-06-04 00:39:41,490 fail2ban.actions [1290]: NOTICE [ssh] Unban 193.201.224.214
< 2019-06-04 06:09:28,896 fail2ban.actions [1290]: NOTICE [ssh] Unban 14.140.192.15
< 2019-06-04 07:34:46,840 fail2ban.actions [1290]: NOTICE [ssh] Unban 75.158.230.20
< 2019-06-04 07:40:36,473 fail2ban.actions [1290]: NOTICE [ssh] Ban 119.14.234.7
< 2019-06-04 15:58:54,371 fail2ban.actions [1290]: NOTICE [ssh] Ban 82.61.66.156
< 2019-06-05 02:03:13,417 fail2ban.actions [1290]: NOTICE [ssh] Unban 157.157.59.158
< 2019-06-05 08:43:56,933 fail2ban.actions [1290]: NOTICE [ssh] Unban 46.101.27.6
< 2019-06-05 11:08:46,894 fail2ban.actions [1290]: NOTICE [ssh] Ban 90.10.197.237
< 2019-06-05 20:49:26,272 fail2ban.actions [1290]: NOTICE [ssh] Unban 90.173.145.229
< 2019-06-06 07:14:21,606 fail2ban.actions [1290]: NOTICE [ssh] Ban 58.59.2.26
< 2019-06-06 16:22:52,274 fail2ban.actions [1290]: NOTICE [ssh] Unban 75.60.242.66
< 2019-06-06 17:04:17,281 fail2ban.actions [1290]: NOTICE [ssh] Unban 142.93.39.29
< 2019-06-06 17:04:17,490 fail2ban.actions [1290]: NOTICE [ssh] Unban 155.4.120.198
< 2019-06-06 17:04:17,699 fail2ban.actions [1290]: NOTICE [ssh] Unban 159.203.251.90
< 2019-06-06 17:04:17,908 fail2ban.actions [1290]: NOTICE [ssh] Unban 27.36.117.179
< 2019-06-06 17:04:18,117 fail2ban.actions [1290]: NOTICE [ssh] Unban 203.110.215.219
< 2019-06-06 17:04:18,327 fail2ban.actions [1290]: NOTICE [ssh] Unban 72.38.193.35
< 2019-06-06 17:04:18,536 fail2ban.actions [1290]: NOTICE [ssh] Unban 77.244.184.68
< 2019-06-06 17:04:18,746 fail2ban.actions [1290]: NOTICE [ssh] Unban 115.160.171.76
< 2019-06-06 17:04:18,955 fail2ban.actions [1290]: NOTICE [ssh] Unban 103.1.40.189
< 2019-06-06 17:04:19,164 fail2ban.actions [1290]: NOTICE [ssh] Unban 118.25.127.254
< 2019-06-06 17:04:19,373 fail2ban.actions [1290]: NOTICE [ssh] Unban 119.28.69.206
< 2019-06-06 17:04:19,582 fail2ban.actions [1290]: NOTICE [ssh] Unban 189.112.143.108
< 2019-06-06 17:04:19,791 fail2ban.actions [1290]: NOTICE [ssh] Unban 182.162.96.184
< 2019-06-06 17:04:20,001 fail2ban.actions [1290]: NOTICE [ssh] Unban 140.143.121.45
< 2019-06-06 17:04:20,210 fail2ban.actions [1290]: NOTICE [ssh] Unban 106.245.95.116
< 2019-06-06 17:04:20,419 fail2ban.actions [1290]: NOTICE [ssh] Unban 103.243.138.30
< 2019-06-06 17:04:20,628 fail2ban.actions [1290]: NOTICE [ssh] Unban 82.124.73.132
< 2019-06-06 17:04:20,838 fail2ban.actions [1290]: NOTICE [ssh] Unban 66.115.121.190
< 2019-06-06 17:04:21,048 fail2ban.actions [1290]: NOTICE [ssh] Unban 118.25.20.96
< 2019-06-06 17:04:21,260 fail2ban.actions [1290]: NOTICE [ssh] Unban 67.21.74.216
< 2019-06-06 17:04:21,469 fail2ban.actions [1290]: NOTICE [ssh] Unban 188.131.144.30
< 2019-06-06 17:04:21,679 fail2ban.actions [1290]: NOTICE [ssh] Unban 202.51.74.226
< 2019-06-06 17:04:21,888 fail2ban.actions [1290]: NOTICE [ssh] Unban 211.251.237.142
< 2019-06-06 17:04:22,097 fail2ban.actions [1290]: NOTICE [ssh] Unban 202.88.131.154
< 2019-06-06 17:04:22,306 fail2ban.actions [1290]: NOTICE [ssh] Unban 119.27.177.245
< 2019-06-06 17:04:22,516 fail2ban.actions [1290]: NOTICE [ssh] Unban 62.234.114.148
< 2019-06-06 17:04:22,725 fail2ban.actions [1290]: NOTICE [ssh] Unban 118.25.69.87
< 2019-06-06 17:04:22,934 fail2ban.actions [1290]: NOTICE [ssh] Unban 148.0.242.194
< 2019-06-06 17:04:23,144 fail2ban.actions [1290]: NOTICE [ssh] Unban 218.97.253.34
< 2019-06-06 17:04:23,353 fail2ban.actions [1290]: NOTICE [ssh] Unban 180.76.102.228
< 2019-06-06 17:04:23,563 fail2ban.actions [1290]: NOTICE [ssh] Unban 172.81.224.196
< 2019-06-06 17:04:23,772 fail2ban.actions [1290]: NOTICE [ssh] Unban 65.60.184.96
< 2019-06-06 17:04:23,981 fail2ban.actions [1290]: NOTICE [ssh] Unban 120.236.201.115
< 2019-06-06 17:04:24,190 fail2ban.actions [1290]: NOTICE [ssh] Unban 202.80.208.220
< 2019-06-06 17:04:24,399 fail2ban.actions [1290]: NOTICE [ssh] Unban 201.249.134.155
< 2019-06-06 17:04:24,607 fail2ban.actions [1290]: NOTICE [ssh] Unban 118.24.111.102
< 2019-06-06 17:04:24,817 fail2ban.actions [1290]: NOTICE [ssh] Unban 183.245.210.182
< 2019-06-06 17:04:25,026 fail2ban.actions [1290]: NOTICE [ssh] Unban 122.14.217.58
< 2019-06-06 17:04:25,234 fail2ban.actions [1290]: NOTICE [ssh] Unban 213.57.26.237
< 2019-06-06 17:04:25,444 fail2ban.actions [1290]: NOTICE [ssh] Unban 139.59.15.52
< 2019-06-06 17:04:25,653 fail2ban.actions [1290]: NOTICE [ssh] Unban 122.154.163.115
< 2019-06-06 17:04:25,863 fail2ban.actions [1290]: NOTICE [ssh] Unban 122.152.231.178
< 2019-06-06 17:04:26,072 fail2ban.actions [1290]: NOTICE [ssh] Unban 177.94.231.179
< 2019-06-06 17:04:26,282 fail2ban.actions [1290]: NOTICE [ssh] Unban 101.251.237.228
< 2019-06-06 17:04:26,491 fail2ban.actions [1290]: NOTICE [ssh] Unban 122.114.252.120
< 2019-06-06 17:04:26,701 fail2ban.actions [1290]: NOTICE [ssh] Unban 82.200.65.218
< 2019-06-06 17:04:26,910 fail2ban.actions [1290]: NOTICE [ssh] Unban 151.15.221.159
< 2019-06-06 17:04:27,119 fail2ban.actions [1290]: NOTICE [ssh] Unban 212.32.245.142
< 2019-06-06 17:04:27,329 fail2ban.actions [1290]: NOTICE [ssh] Unban 51.255.174.215
< 2019-06-06 17:04:27,538 fail2ban.actions [1290]: NOTICE [ssh] Unban 61.81.101.14
< 2019-06-06 17:04:27,747 fail2ban.actions [1290]: NOTICE [ssh] Unban 193.32.163.89
< 2019-06-06 17:04:27,957 fail2ban.actions [1290]: NOTICE [ssh] Unban 206.189.197.48
< 2019-06-06 17:04:28,166 fail2ban.actions [1290]: NOTICE [ssh] Unban 159.65.245.203
< 2019-06-06 17:04:28,376 fail2ban.actions [1290]: NOTICE [ssh] Unban 187.32.53.122
< 2019-06-06 17:04:28,585 fail2ban.actions [1290]: NOTICE [ssh] Unban 95.24.202.39
< 2019-06-06 17:04:28,795 fail2ban.actions [1290]: NOTICE [ssh] Unban 119.14.234.7
< 2019-06-06 17:04:29,004 fail2ban.actions [1290]: NOTICE [ssh] Unban 82.61.66.156
< 2019-06-06 17:04:29,214 fail2ban.actions [1290]: NOTICE [ssh] Unban 90.10.197.237
< 2019-06-06 17:04:29,423 fail2ban.actions [1290]: NOTICE [ssh] Unban 58.59.2.26
< 2019-06-06 17:05:13,206 fail2ban.actions [974]: NOTICE [ssh] Ban 101.251.237.228
< 2019-06-06 17:05:13,625 fail2ban.actions [974]: NOTICE [ssh] Ban 103.1.40.189
< 2019-06-06 17:05:13,840 fail2ban.actions [974]: NOTICE [ssh] Ban 103.243.138.30
< 2019-06-06 17:05:14,056 fail2ban.actions [974]: NOTICE [ssh] Ban 106.245.95.116
< 2019-06-06 17:05:14,271 fail2ban.actions [974]: NOTICE [ssh] Ban 115.160.171.76
< 2019-06-06 17:05:14,486 fail2ban.actions [974]: NOTICE [ssh] Ban 118.24.111.102
< 2019-06-06 17:05:14,701 fail2ban.actions [974]: NOTICE [ssh] Ban 118.25.127.254
< 2019-06-06 17:05:14,917 fail2ban.actions [974]: NOTICE [ssh] Ban 118.25.20.96
< 2019-06-06 17:05:15,132 fail2ban.actions [974]: NOTICE [ssh] Ban 118.25.69.87
< 2019-06-06 17:05:15,347 fail2ban.actions [974]: NOTICE [ssh] Ban 119.14.234.7
< 2019-06-06 17:05:15,562 fail2ban.actions [974]: NOTICE [ssh] Ban 119.27.177.245
< 2019-06-06 17:05:15,777 fail2ban.actions [974]: NOTICE [ssh] Ban 119.28.69.206
< 2019-06-06 17:05:15,993 fail2ban.actions [974]: NOTICE [ssh] Ban 120.236.201.115
< 2019-06-06 17:05:16,208 fail2ban.actions [974]: NOTICE [ssh] Ban 122.114.252.120
< 2019-06-06 17:05:16,423 fail2ban.actions [974]: NOTICE [ssh] Ban 122.14.217.58
< 2019-06-06 17:05:16,639 fail2ban.actions [974]: NOTICE [ssh] Ban 122.152.231.178
< 2019-06-06 17:05:16,854 fail2ban.actions [974]: NOTICE [ssh] Ban 122.154.163.115
< 2019-06-06 17:05:17,069 fail2ban.actions [974]: NOTICE [ssh] Ban 139.59.15.52
< 2019-06-06 17:05:17,285 fail2ban.actions [974]: NOTICE [ssh] Ban 140.143.121.45
< 2019-06-06 17:05:17,500 fail2ban.actions [974]: NOTICE [ssh] Ban 142.93.39.29
< 2019-06-06 17:05:17,715 fail2ban.actions [974]: NOTICE [ssh] Ban 148.0.242.194
< 2019-06-06 17:05:17,931 fail2ban.actions [974]: NOTICE [ssh] Ban 151.15.221.159
< 2019-06-06 17:05:18,146 fail2ban.actions [974]: NOTICE [ssh] Ban 155.4.120.198
< 2019-06-06 17:05:18,361 fail2ban.actions [974]: NOTICE [ssh] Ban 159.203.251.90
< 2019-06-06 17:05:18,577 fail2ban.actions [974]: NOTICE [ssh] Ban 159.65.245.203
< 2019-06-06 17:05:18,792 fail2ban.actions [974]: NOTICE [ssh] Ban 172.81.224.196
< 2019-06-06 17:05:19,008 fail2ban.actions [974]: NOTICE [ssh] Ban 177.94.231.179
< 2019-06-06 17:05:19,223 fail2ban.actions [974]: NOTICE [ssh] Ban 180.76.102.228
< 2019-06-06 17:05:19,438 fail2ban.actions [974]: NOTICE [ssh] Ban 182.162.96.184
< 2019-06-06 17:05:19,654 fail2ban.actions [974]: NOTICE [ssh] Ban 183.245.210.182
< 2019-06-06 17:05:19,869 fail2ban.actions [974]: NOTICE [ssh] Ban 187.32.53.122
< 2019-06-06 17:05:20,084 fail2ban.actions [974]: NOTICE [ssh] Ban 188.131.144.30
< 2019-06-06 17:05:20,300 fail2ban.actions [974]: NOTICE [ssh] Ban 189.112.143.108
< 2019-06-06 17:05:20,515 fail2ban.actions [974]: NOTICE [ssh] Ban 193.32.163.89
< 2019-06-06 17:05:20,730 fail2ban.actions [974]: NOTICE [ssh] Ban 201.249.134.155
< 2019-06-06 17:05:20,946 fail2ban.actions [974]: NOTICE [ssh] Ban 202.51.74.226
< 2019-06-06 17:05:21,161 fail2ban.actions [974]: NOTICE [ssh] Ban 202.80.208.220
< 2019-06-06 17:05:21,377 fail2ban.actions [974]: NOTICE [ssh] Ban 202.88.131.154
< 2019-06-06 17:05:21,592 fail2ban.actions [974]: NOTICE [ssh] Ban 203.110.215.219
< 2019-06-06 17:05:21,808 fail2ban.actions [974]: NOTICE [ssh] Ban 206.189.197.48
< 2019-06-06 17:05:22,023 fail2ban.actions [974]: NOTICE [ssh] Ban 211.251.237.142
< 2019-06-06 17:05:22,239 fail2ban.actions [974]: NOTICE [ssh] Ban 212.32.245.142
< 2019-06-06 17:05:22,454 fail2ban.actions [974]: NOTICE [ssh] Ban 213.57.26.237
< 2019-06-06 17:05:22,670 fail2ban.actions [974]: NOTICE [ssh] Ban 218.97.253.34
< 2019-06-06 17:05:22,885 fail2ban.actions [974]: NOTICE [ssh] Ban 27.36.117.179
< 2019-06-06 17:05:23,100 fail2ban.actions [974]: NOTICE [ssh] Ban 51.255.174.215
< 2019-06-06 17:05:23,316 fail2ban.actions [974]: NOTICE [ssh] Ban 58.59.2.26
< 2019-06-06 17:05:23,531 fail2ban.actions [974]: NOTICE [ssh] Ban 61.81.101.14
< 2019-06-06 17:05:23,747 fail2ban.actions [974]: NOTICE [ssh] Ban 62.234.114.148
< 2019-06-06 17:05:23,962 fail2ban.actions [974]: NOTICE [ssh] Ban 65.60.184.96
< 2019-06-06 17:05:24,178 fail2ban.actions [974]: NOTICE [ssh] Ban 66.115.121.190
< 2019-06-06 17:05:24,393 fail2ban.actions [974]: NOTICE [ssh] Ban 67.21.74.216
< 2019-06-06 17:05:24,608 fail2ban.actions [974]: NOTICE [ssh] Ban 72.38.193.35
< 2019-06-06 17:05:24,824 fail2ban.actions [974]: NOTICE [ssh] Ban 77.244.184.68
< 2019-06-06 17:05:25,039 fail2ban.actions [974]: NOTICE [ssh] Ban 82.124.73.132
< 2019-06-06 17:05:25,255 fail2ban.actions [974]: NOTICE [ssh] Ban 82.200.65.218
< 2019-06-06 17:05:25,470 fail2ban.actions [974]: NOTICE [ssh] Ban 82.61.66.156
< 2019-06-06 17:05:25,686 fail2ban.actions [974]: NOTICE [ssh] Ban 90.10.197.237
< 2019-06-06 17:05:25,901 fail2ban.actions [974]: NOTICE [ssh] Ban 95.24.202.39
< 2019-06-07 01:41:30,032 fail2ban.actions [974]: NOTICE [ssh] Ban 160.2.236.99
< 2019-06-07 01:50:05,835 fail2ban.actions [974]: NOTICE [ssh] Ban 79.223.85.227
< 2019-06-07 09:10:20,919 fail2ban.actions [974]: NOTICE [ssh] Ban 88.189.73.68
< 2019-06-07 15:21:01,421 fail2ban.actions [974]: NOTICE [ssh] Ban 125.69.55.105
< 2019-06-08 01:04:18,257 fail2ban.actions [974]: NOTICE [ssh] Ban 212.83.183.155
 
Mocht je poort 22 vanuit buiten ooit nog willen openzetten doe dat dan alleen op basis van keys.
En zorg ervoor dat root nooit op basis van keys mag binnen komen, dan ben je al aardig beschermd.

Foolproof is dat nooit. Vorige week is een lek in de EXIM mailserver bekend gemaakt die inmiddels actief aangevallen wordt. Via dat lek wordt nu SSH aangezet en een keys voor roottoegang geïnstalleerd. Als je zo'n kwetsbare server gebruikt is de enige bescherming dat je poort 22 niet geforward hebt. (En de aanvallers dit ook niet via UPnP kunnen forwarden) link

Naast die keys is het ook verstandig een ander poortnummer voor ssh te gebruiken. Dat scheelt ook veel.
 
Terug
Bovenaan