Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1186 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

suspicious log entries

MattG_01
On my ASG220 v6.102 , under Local Logs/ SSH daemon/ SSH daemon live log it shows the following.

2005:12:08-12:23:53 (none) sshd[27115]: Illegal user simona from 59.42.52.210
2005:12:08-12:23:53 (none) sshd[27115]: error: Could not get shadow information for NOUSER
2005:12:08-12:23:53 (none) sshd[27115]: Failed password for illegal user simona from 59.42.52.210 port 13903 ssh2

Is this someones attempt to login using a name dictionary or something?


This thread was automatically locked due to age.
  • 0
    Usually.

    You can restrict what networks can access the ssh access in the webmin (first section).

    Barry
  • 0
    The answer to your question is 'yes'. SSH brute force attacks are getting more and more common. As Barry already suggested it is usually a wise idea to only open access to certain trusted networks or hosts. I won't rant about using simple passwords  or  similar passwords for loginuser and root ...
    Cheers,
    andreas
  • 0 in reply to BarryG
    If you have a router between ASL and the internet you could also block SSH there.
  • 0 in reply to andreas
    I have taken the wise advice and only opened access to two hosts and one network and set all my complex passwords differently.  My administrative report (Reporting/Administrative Statistics) shows 2793 failed remote logins today.  
    If I disable SSH (Shell Access) Settings under System/Settings will that stop/prevent these attempts?
    My ISP owns the router in front of my ASG220. If I ask them to disable/block SSH on the router, should they be able to do that?  Is SSH something I am going to need later? (ie For Astaro Support)
  • 0 in reply to MattG_01
    [ QUOTE ]
    If I disable SSH (Shell Access) Settings under System/Settings will that stop/prevent these attempts?

    [/ QUOTE ]

    Yes.
    You don't even need to disable it; you can just set the allowed networks to your trusted networks.

    Barry