ShadowServer Foundation

[Ignatios Souvatzis]

hi,

Ich beobachte langsames (alle 24h) aber persistentes
Anklopfen an einen ssh-Server aus zweien derer Netze.

Sammeln die Serverversionsstrings für wissenschaftliche
Zwecke oder zur Vorbereitung von Angriffen?

(ABUSE-Kontakt ist a) he.net selbst und b) ausdrücklich nur
für Email_Spam zuständig.)

-is
--
A medium apple... weighs 182 grams, yields 95 kcal, and contains no
caffeine, thus making it unsuitable for sysadmins. - Brian Kantor

[Sven Hartge]

Ignatios Souvatzis <u50...@bnhb484.de> wrote:

> Ich beobachte langsames (alle 24h) aber persistentes
> Anklopfen an einen ssh-Server aus zweien derer Netze.

> Sammeln die Serverversionsstrings für wissenschaftliche
> Zwecke oder zur Vorbereitung von Angriffen?

Ersteres. Man kann die Infos als Netzbetreiber für das eigene Netz auch
selbst erhalten.

Mein Arbeitgeber ist dort mit seinen Netzen registriert und es gibt
tägliche Reports zu Dingen wie "da ist ein Server mit Heartbleed-Lücke
in deinem Netz" oder "der Server X hat SMB/RDP/MSSQl-Server/Foo/Bar ins
Internet offen", etc.

Alles sehr nützlich, um Dinge abzustellen bevor sie gefährlich werden
können, denn jeder übersieht einmal etwas aber nicht jeder hat die
Möglichkeiten das eigene Netz von extern permanent scannen zu können.

Die erhobenen Daten werden außerdem an die diversen CERTs weitergegeben.

S°

--
Sigmentation fault. Core dumped.