Oracle-System auf Liste geächteter Rechner [Update]

Einer Statistik des Server-Überwachungstools DenyHosts zufolge findet sich unter einer Top Ten der weltweit geächteten Angreifer auf SSH-Dienste ein System des Herstellers Oracle (emea-netcache1.oracle.co.uk). Laut der "Most Often Denied Hosts"-Statistik wird von diesem System (oder Systemen) bereits seit 70 Tagen versucht, sich in SSH-Konten anderer Server einzuloggen. Britischen Medienberichten zufolge soll Oracle nun über das Problem informiert sein. Ob das System von Eindringlingen für ihre Zwecke missbraucht wurde, ist unklar, Oracle untersucht den Fall aber.

DenyHosts ist ein in Python geschriebenes Tool, das die Log-Files des SSH-Daemon auswertet und aufbereitet. So können Administratoren leicht verfolgen, von welchen Systemen aus wie oft versucht wird, in welche Konten einzubrechen. Zusätzlich sperrt das Skript ab einer bestimmten Schwelle von Angriffsversuchen den Rechner per Eintrag in /etc/hosts.deny einfach aus. Darüber hinaus kann man die Daten an den Statistik-Server des Projektes DenyHost hochladen. Ein ähnliches Tool fail2ban orientiert sich ebenfalls an Log-Dateien, blockiert im Unterschied zu DenyHosts aber weitere Zugriffe per iptables-Regel.

Das System von Oracle wird derzeit von 9797 Rechnern blockiert, auf denen DenyHosts installiert ist. Ein seit 220 Tagen aktives System in China bringt es immerhin auf 11365. Spitzenreiter ist laut Statistik ein Rechner, der im Netzblock des Webhosters Webperoni registriert ist. 11391 Server blockieren den Zugriff dieses Systems.

Update
Die Statistik von DenyHosts wurde aktualisiert, sodass nun die Systeme von Oracle und Webperoni nicht mehr in der Liste zu finden sind. Offenbar führte ein falsch konfigurierter Server zu den enorm hohen Deny-Zählungen, da dieser seine Informationen mehrfach an den Statistik-Server sandte.

Siehe dazu auch:

• DenyHosts - Summary of Activity, Statisitik von DenyHost

(dab)