On Sat, 12 Feb 2005, Christian wrote: > Hallo Liste,
Konbawa Chris-Sama, > gibt es eine M�glichkeit mich gegen Brute Force Attacken via ssh durch > beschr�nkte maximale Connections o.�. zu sch�tzen? [ snip Log von Bruteforce ssh abuse ] Eine freundliche Mail an den abuse-contact des Providers wirkt wahre Wunder - zumindest bei verantwortungsvollen Providern. Meistens ist der �belt�ter noch nicht einmal der Inhaber der gezeigten IP sondern nur ein armer Hund, dessen Server gehackt wurde. Die Mail sollte daher wirklich freundlich gehalten sein. Nett war auch mal die Geschichte mit dem Kunden von 1&1 dessen neuer Rootserver gebrochen wurde... Dem habe ich geschrieben, dass sein Server wohl gehackt sei und ihn ganz ganz h�flich gebeten, das abzustellen. Der hat sich hinterher wie wild bedankt, weil meine Mail wohl die einzige war, die in einem freundlichen Ton war. Die anderen Mails waren wohl in dem Format:"... Anzeige / Verklagen / und schlimmeres...". Bei verantwortungslosen Providern ist das nat�rlich vergebliche Liebesm�he. Aber ein anderer freundlicher Mensch hat einmal eine Reihe von Netzadressen gesammelt, die sich um Abuse-Complaints recht wenig k�mmern und diese unter http://www.blackholes.us/ zur Verf�gung gestellt. Diese von Dir gezeigte Adresse taucht jedoch nicht dort in dessen tarball auf, obwohl die lt. whois 31 /24er Subnets haben. Die Chancen, dort einen verantwortungsvollen Provider zu finden, d�rften recht hoch sein. Der Mensch auf der IP betreibt einen Mailserver. Wenn Du magst, kannst Du dem Spanischen Registrar eine freundliche Mail abwerfen. Wenn Du die Shorewall installiert hast, kannst Du dort die *.txt-Dateien in Blacklist-Eintr�ge umwandeln und damit zumindest schon einmal rund 80% der Angriffe blocken. Eine weitere M�glichkeit bietet Dir "logcheck", der beim Auftauchen bestimmter Muster in bestimmten Logfiles eine Mail schickt, damit Du manuelle Gegenmassnahmen ergreifen kannst. Eine dritte - eher rabiate M�glichkeit ist, IP-Adressen, die in entsprechender Weise auff�llig werden, mit einem iptables -I INPUT -s 66.79.165.130 -j DROP zu bedenken. Wenn Du keine Angst davor hast, Dich selbst zu DOSen, dann kannst Du das auch von einem Script erledigen lassen. Muss jeder selber wissen. Whitelisten sind eine feine Sache ... ;-) > Kann ich das in gewisser Weise unterbinden? Was sollte alles in einer > sshd_config drin stehen? Ein guter Anfang ist: PermitRootLogin no oder PermitRootLogin forced-commands-only wenn Du z.B. wg. Backups noch einen root-Zugriff brauchen solltest. Hierdurch kann lange versucht werden, an den interaktiven "root" zu kommen. Man braucht mindestens einen unterprivilegierten lokalen Account, der gebrochen werden muss. Dies hebt die H�rde f�r den Angreifer noch ein wenig h�her. Anschlie�end w�rde ich den Login mit Passw�rtern generell streichen: PasswordAuthentication no PAMAuthenticationViaKbdInt no bzw. usePAM no Ein ssh-Login auf dem Rechner bringt dann nur noch ein: Permission denied (publickey) Hierdurch kommen nur noch User mit entsprechenden Keys auf den sshd. Einem Passwort-Bruteforce kann man nun in aller Ruhe und Gelassenheit zusehen. Selbstverst�ndlich hast Du auch nur die Accounts enabled, die Du unbedingt ben�tigst. Standardaccounts f�r Demons haben den Login disabled oder ein entsprechend starkes Passwort. Und �berhaupt: Wenn Dich einer angreift: Ruhe bewahren ist wohl das allerwichtigste. Nichts �berst�rzen. Keine Beweise selbst vernichten. Lieber zwei Sekunden l�nger �berlegen was man nun als n�chstes macht. Am allerbesten schon vor dem Angriff einen Plan zurechtzimmern und den einstudieren, damit in der Aufregung jeder Handgriff sitzt. > Macht es Sinn sich bei solchen Angriffen an die Abuse-Mail des > entspr. Providers zu wenden oder verl�uft so etwas sowieso im Sand und > ist den Aufwand nicht wert? H�ngt vom Provider ab. Der nette Mensch auf "blackholes.us" ist aber sicherlich gerne bereit, ein weiteres 31*/24 Subnet aufzunehmen, denke ich mal... t++
