<div style="font-family: Arial, sans-serif; font-size: 14px;"><p>Hello,<br>
<br>
I do operate an exit node which rejects exits on port 22.<br>
<br>
You should, by default, change your SSH port to a random 5 digit number:<br>
<br>
<a href="https://www.random.org/integers/?num=1&min=16384&max=65535&col=5&base=10&format=html&rnd=new" title="Random.org Random Number Generator">Random.org Random Number Generator</a><br>
<br>
And apply static IPTables rules to block connection spam even if someone portscans your system (make sure to apply this rule to your random port, I just set the port here to 22):<br>
<br></p><blockquote style="border-left: 3px solid rgb(200, 200, 200); border-color: rgb(200, 200, 200); padding-left: 10px; color: rgb(102, 102, 102);">
$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH<br>
$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 4 --name SSH -j DROP<br><div>
$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT<br></div></blockquote><div><br></div><div><span style="font-family: Arial, sans-serif; font-size: 14px; font-weight: 400; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">Also, disable password-based authentication entirely, and go for at least RSA4096 or even better ED25519 login rendezvous.</span></div><div><span style="font-family: Arial, sans-serif; font-size: 14px; font-weight: 400; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);"><br></span></div><div><span style="font-family: Arial, sans-serif; font-size: 14px; font-weight: 400; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">I promise to later do a tcpdump on my machine, and see if relays on the public lists are more affected then your average "normal" server.</span></div><div><span style="font-family: Arial, sans-serif; font-size: 14px; font-weight: 400; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);"><br></span></div><div><span style="font-family: Arial, sans-serif; font-size: 14px; font-weight: 400; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">Of course there are always machines, more often infected than not, scanning the IPv4</span></div><div><span style="font-family: Arial, sans-serif; font-size: 14px; font-weight: 400; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">ranges for open SSH ports, which possible can be exploited.</span></div><div><span style="font-family: Arial, sans-serif; font-size: 14px; font-weight: 400; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);"><br></span></div><div><span style="font-family: Arial, sans-serif; font-size: 14px; font-weight: 400; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">Please wait for me reply in a few hours friend.</span></div><div><span style="font-family: Arial, sans-serif; font-size: 14px; font-weight: 400; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);"><br></span></div><div><span style="font-family: Arial, sans-serif; font-size: 14px; font-weight: 400; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">-GH<br></span></div>
<br>
On Tuesday, October 29th, 2024 at 4:33 AM, Pierre Bourdon <a href="mailto:delroth@gmail.com">delroth@gmail.com</a> wrote:<p></p>
<p></p>
<blockquote>
<p>Hi relay ops,<br>
By any chance, any other relay ops seeing the same thing, or am I just<br>
going crazy? (it does kind of sound insane...)</p>
</blockquote>
<p></p>
<blockquote>
<p>Software Engineer @ Zürich, Switzerland<br>
<a href="https://delroth.net/">https://delroth.net/</a><br>
_______________________________________________<br>
tor-relays mailing list<br>
<a href="mailto:tor-relays@lists.torproject.org">tor-relays@lists.torproject.org</a><br>
<a href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays">https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays</a></p>
</blockquote></div>