Varsayilan SSH port’u degistirilmeyen veya SSH erisimi filtrelenmeyen her sunucu, Internet uzerinde otomatik olarak yapilan SSH sifre deneme/yanilma(Brute-Force) saldirilarina acik.
Bu gibi sistemlerin loglarinda bu aktiviteleri gormeye artik herkes alisti. Standart denemelerden farkli olarak, bu sabah gordugum bir aktivite dikkatimi cekti.
Denemeler Turkce isimlerden olusan kullanici adlari ile, Bogazici Universitesi IP bloguna ait 193.140.196.239 IP adresi kullanilarak yapilmis.
08:39’da “murat” kullanici adinin denenmesi ile baslayan denemeler, 8:41’e dogru, “wahid” kullanici adinin denenmesi ile son bulmus ve toplamda 660 potansiyel Turkce kullanici adi zayif sifrelere karsi denenmis.
Apr 30 08:39:10 _hostname_ sshd[_pid_]: Failed password for illegal user murat from 193.140.196.239 port 52828 ssh2
Apr 30 08:39:10 _hostname_ sshd[_pid_]: Failed password for illegal user emre from 193.140.196.239 port 52839 ssh2
Apr 30 08:39:10 _hostname_ sshd[_pid_]: Failed password for illegal user ali from 193.140.196.239 port 52849 ssh2
Apr 30 08:39:10 _hostname_ sshd[_pid_]: Failed password for illegal user onur from 193.140.196.239 port 52858 ssh2
Apr 30 08:39:10 _hostname_ sshd[_pid_]: Failed password for illegal user samet from 193.140.196.239 port 52872 ssh2
Apr 30 08:39:10 _hostname_ sshd[_pid_]: Failed password for illegal user ferhat from 193.140.196.239 port 52880 ssh2
… seklinde gidiyor.
Bunun gibi SSH denemeleri, DenyHosts kullanilarak engellenebilir.
Ayrica SSH uzerinden “root” kullanicisinin girisine izin verilmemeli (“/etc/ssh/sshd_config” dosyasinda “PermitRootLogin no” satirinin oldugundan emin olun) ve olasi bos sifreli kullanicilarin SSH kullanarak girisine izin verilmemelidir (“/etc/ssh/sshd_config” dosyasinda “PermitEmptyPasswords no” satirinin oldugundan emin olun).