sshd / brute-force-attacks

sshd / brute-force-attacks (23 Beiträge, 887 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Das /var/log/messages file hat rund 27500 Zeilen. Davon sind 22300 Einträge nur vom sshd.
Bevor ich den Port 443 offen hatte, war auch einiges los. Aber seit dieser zusätzlich offen ist, gehts rund auf dem Server. Zuerst werden über https ein paar lustige Versuche gemacht, und danach der ssh-Zugang malträtiert.

Hab mal als ersten Lösungsansatz was nettes gefunden:
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP

Blockiert den ssh-Port für neue Verbindungen, wenn es mehr als 3 Versuche innerhalt einer Minute gibt.
Alternativ gibt es Methoden, welche die Logfiles analysieren und dann die hosts.allow/deny anpassen. Aber irgendwie gefällt mir das nicht.
Weiters werd ich jetzt noch "syslog"-Filter einbauen, damit der Rest in eigene Logfiles kommt.

Wie ist das bei Euch? Habt ihr da was "cooleres" im Einsatz?
Nicht hinsichtlich Sicherheit, denn auf den Server kommt man ohnehin nur mit Schlüssel UND Passphrase. Sondern um dem ganzen Mist ein wenig zu reduzieren. Das Logging komplett abzudrehen, gefällt mir aber auch nicht.

lg, Hawelka

23.01.2012, 16:49 Uhr - Editiert von Hawelka, alte Version: hier

vielleicht ist fail2ban odgl. was für dich

Man kann den sshd auch auf einen anderen Port legen. Bringt für die Sicherheit nichts aber Ruhe im Log.

vielleicht ist fail2ban odgl. was für dich

check ich grad - Danke!

Man kann den sshd auch auf einen anderen Port legen. Bringt für die Sicherheit
nichts aber Ruhe im Log.

Warum meinst du, dass dann nicht mehr geloggt wird?
Eigentlich will ich eh, dass geloggt wird. Aber eher in so einer Form:

sshd: this stupid asshole on 1.2.3.4, tried 2500 times to connect .....

Die meisten dieser Anfragen kommen von Bots und die probieren nur den Standard-Port.

Wenn dann doch mal jemand auf deinem Port anklopft dann wird das natürlich wieder geloggt... dann weißt du auch daß es eher ein gezielter Angriff auf dich ist als ne blinde Bot-Attacke...

Die meisten dieser Anfragen kommen von Bots und die probieren nur den Standard-Port.

Wenn dann doch mal jemand auf deinem Port anklopft dann wird das natürlich wieder geloggt... dann weißt du auch daß es eher ein gezielter Angriff auf dich ist als ne blinde Bot-Attacke...

Es loggt ja niemand, ob jemand auf einem Port anklopft!
Es loggt der ssh-daemon, und der läuft dann halt auf einem anderen Port. Ich glaub, du redest dir da was ein

Nein, aber vielleicht verstehst du mich falsch oder wir reden aneinander vorbei.

Der ssh-daemon loggt. Der läuft normal auf Port 22, und da gibts im Internet eben Hintergrundrauschen in Form von Bots die sich auf alle möglichen IPs Port 22 verbinden und div. User/Passwort-Kombis durchprobieren. Und die müllen das Log voll.

Schiebst du den ssh-daemon auf einen anderen Port, kommt das rauschen auf Port 22 zwar immer noch rein, aber da dort niemand lauscht wird keine Verbindung aufgebaut und es loggt auch niemand was, außer vielleicht dein iptables wenn du es so zerkonfiguriert hast.

Ergo ssh auf anderem Port - und das Log ist ruhig bzw. im Log landen dann eben nur noch die "echten" / "relevanten" Verbindungsversuche...

Alles klar, da haben wir aneinander vorbeigeredet

Ich weiß ehrlich gesagt nicht, wie die Scripts dieser kiddies aufgebaut sind. Die werden zuerst mal einen PortScan machen und checken wollen, welches Service auf welchem Port läuft.
Denn, den sshd auf einen anderen Port zu legen, wäre für mich absolut kein Problem. Aber meinst du wirklich, dass das deren Scripts beeindrucken wird?

Ich hab mir gegen die Portscannerei (bei meinen Servern liegt der sshd auch nicht auf default Port) die Sentrytools installiert. http://sourceforge.net/projects/sentrytools/

Klappen bis jetzt ganz gut - vor allem PortSentry.

Where there is a shell, there is a way!

Wenn dich jemand gezielt angreift macht da vielleicht mal jemand einen Portscan, klar. Ist aber eher die Ausnahme da Portscans auch anderweitig auffallen.

Aber es gibt einfach so viele "blinde" Verbindungsversuche, welchen Zweck das haben soll weiß ich auch nicht, vielleicht gibts ja irgendwo Leute die einen SSH-Account user otto passwort otto anlegen, bei mir jedenfalls nicht. Läuft wohl nach dem Motto blindes Huhn findet auch mal ein Korn...

oh, das ist absolut häufig. Ich habe schon auf mehreren Servern ungebetene Gäste gehabt, weil einen user demo1/demo1 usw für eine Schulung eingerichtet habe, und beim entfernen dann einen übersehen habe, oder weil ein User mit ssh Zugang darauf bestanden hat sein Passwort auf 12345 zu setzen.
--
Der einzige Weg, wahre Liebe für Geld zu kaufen, ist, sich einen Hund anzuschaffen.

Dann ist meine Maßnahme ziemlich klar - anderer Port.

Vielen Dank!

Ja, werden sie.
--
Der einzige Weg, wahre Liebe für Geld zu kaufen, ist, sich einen Hund anzuschaffen.

Einfach weil die Bots nur auf port 22 losgehen. Ich hab eine etwas komplizierter Struktur, wo hinter einer FW 2 Server stehen, für die ich ssh auf 2022 und 3022 tunnele. Dort ist Ruhe im syslog.
--
Der einzige Weg, wahre Liebe für Geld zu kaufen, ist, sich einen Hund anzuschaffen.

Passt - weg vom 22er!

Vielen Dank!

Aber irgendwie gefällt mir das nicht.

Weil? Log-basierte Programme (z. B.: Fail2ban, DenyHosts) wären zum Blocken sicher die einfachste Lösung.

Ich hab mir "fail2ban" gerade angesehen (danke Dir und auch an "frostschutz").
Bei dieser Methode wird wenigstens mittels iptable-Regeln gearbeitet. Und, soweit ich das bisher gesehen hab, auch nur zeitlich begrenzt blockiert.
Aber ich kann mich generell mit dieser Methode nicht so recht anfreunden. Ständig die Logfiles zu scannen und selbst dann nicht zeitgerecht, Maßnahmen zu setzen. Für WebServer ist das wahrscheinlich eh am geeignetsten. Aber bei ssh, wäre mir eine Lösung lieber, die im Moment des Connect-Versuches zuschlägt.
Aber ich denk da nochmals darüber nach - Vorurteile sind halt so eine Sache

ja. Dem ist so. Und weil es mich auch gestört hat, habe ich fail2baqn installiert, und mir gleich selbst ein Ei gelegt.

Beim reboot des Servers nämlich versucht gleich mit ssh zu connecten. abgebrochen nochmal bversucht, abgebrochen nochmal versucht, und dann war ich für eine Stunde gesperrt.

Wäre ja nicht schlimm gewesen, wenn ich kapiert hätte, was passiert ist. Aber ich habe vermutet, dass irgendwas schiefgegangen ist. Erst nachdem ich das Rettungssystem da war, hat es angefangen mir zu dämmern was da passiert ist.

Jedenfalls hab ich jetzt viele tausend Zeilen logeinträge gegen drei bis vier automatisch in den trash gefilterte Mails getauscht.
--
Der einzige Weg, wahre Liebe für Geld zu kaufen, ist, sich einen Hund anzuschaffen.

Beim reboot des Servers nämlich versucht gleich mit ssh zu connecten.
abgebrochen nochmal bversucht, abgebrochen nochmal versucht, und dann war ich
für eine Stunde gesperrt.

Diesen Teil kapier ich nicht ganz.
Waren deine Versuche, über ssh reinzukommen früher, als der Zeitpunkt, wo der sshd gestartet wurde?
Dann dürfte der sshd ja auch noch keine Logeinträge gemacht haben, welche ja das "Futter" für "Fail2ban" sind.

Wie die anderen schon geschrieben haben Fail2Ban ist das was du suchst.
Man kann auch eine IP (oder mehrere) ausnehmen, die man auf gar keinen Fall blacklisten lassen will.
Andere Möglichkeit wäre noch das Geo Protection Modul für Iptables.

Kommt auf die Umgebung und das Budget an,wenn beides im Profibereich angesiedlet ist,dann hat weder das logging noch das blocken am Server was zu suchen. Logs werden zu einer zentralen Stelle geschickt und korreliert,geblockt wird auf dem IPS/der Firewall.
Port verlegen bringt meist eher Probleme als ne Lösung, das sind eher so pipifax Bastellösungen....aber wenns nur eine Kiste ist die man mehr hobbymässig zum Nulltarif betreibt,dann ist das und lokale securityfeatures das einzige was vertretbar ist
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Wie ist das bei Euch? Habt ihr da was "cooleres" im Einsatz?

Ja, ein guter Router VOR dem Server, der nur die nötigsten Ports aufmacht und im Falle von x falschen Anmeldungen am ftp/pop3 usw die IP für eine bestimmte Zeit blockiert.

Hab mir mal, als mir fad war, was selber geschrieben

http://code.google.com/p/log-banner/source/browse/#svn%2Ftrunk

Geht aber nur unter Linux (nutzt iptables) und IMHO habe ich wo ein Speicherleck

Nutze es aber auf meinem Router fürn FTP, SSH und telnet Dienst..

Es geht jede neue Zeile einer Logdatei durch und prüft auf Einträge und wenn da zB "password failed" vorkommt, dann wird ein Internet Counter (auf Basis der IP) hochgezählt.

Ist ein eingestelltes maximum erreicht, so wird der via iptables gebanned und nach Zeit XX wieder entbanned (falls man es mal schafft sich selbst auszusperren).

Mein Output beim "Eindringen"

Wed Jan 18 12:38:11 2012: Startup: Time: Wed Jan 18 12:38:11 2012

Wed Jan 18 12:38:11 2012: /tmp/syslog.log Size: 129578 bytes
Fri Jan 20 19:10:00 2012: Found program: proftpd
Fri Jan 20 19:10:00 2012: Valid program found: proftpd[23358]: asus (::ffff:46.50.183.5[::ffff:46.50.183.5]) - USER anonymous: no such user found from ::ffff:46.50.183.5 [::ffff:46.50.183.5] to ::ffff:192.168.1.200:21
Fri Jan 20 19:10:00 2012: Failed login attempt: proftpd[23358]: asus (::ffff:46.50.183.5[::ffff:46.50.183.5]) - USER anonymous: no such user found from ::ffff:46.50.183.5 [::ffff:46.50.183.5] to ::ffff:192.168.1.200:21
Fri Jan 20 19:10:00 2012: FOUND IP: 46.50.183.5
Fri Jan 20 19:10:00 2012: FOUND NAME: anonymous
Fri Jan 20 19:10:00 2012: New Fail user registered: anonymous IP: 46.50.183.5 for program: proftpd

...

Apple Fans sind wie Zeugen Jehovas. Es ist sinnlos mit ihnen zu reden..

Why not ZOIDBERG? (V)_(°,,,°)_(V)
(-.(-.(-.(-.-).-).-).-)

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung