Re: SSH-BruteForce-Attacken
Hallo Stephan, * Stephan Schmidt [EMAIL PROTECTED] [20050823 19:13]: Nur was bedeuten die alle? Denn hitcount gibts in den manpages nicht. Könntest du das kurz umreissen? Dokumentation findest du mit iptables -m recent --help. Wenn man bei dem Modul mal durchblickt ist es sehr nützlich, siehe z.B. auch meine Regeln, die Zugriffe auf meinen (m)identd nur smtp- und irc-servern auf die ich zugegriffen habe für eine bestimmte Zeit erlauben. Aber Vorsicht, die Gefahr von Self-DoS besteht :) Grüße, Felix -- | /\ ASCII Ribbon | Felix M. Palmen (Zirias)http://zirias.ath.cx/ | | \ / Campaign Against | [EMAIL PROTECTED] encrypted mail welcome | | XHTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 | signature.asc Description: Digital signature
Re: SSH-BruteForce-Attacken
On Thu, Aug 25, 2005 at 09:08:16AM +0200, Felix M. Palmen wrote: Hallo Felix, Dokumentation findest du mit iptables -m recent --help. Wenn man bei dem Modul mal durchblickt ist es sehr nützlich, siehe z.B. auch meine Regeln, die Zugriffe auf meinen (m)identd nur smtp- und irc-servern auf die ich zugegriffen habe für eine bestimmte Zeit erlauben. Hm das bringt Dir genau welchen Vorteil? Ich wueste jetzt nicht warum ich den Zugriff auf einen Dienst wie ident beschraenken sollte. Abgesehen davon ist es doch wohl hoechst selten das ein smtp Server ident Abfragen macht. Ich kann mich da noch nicht einmal dran erinnern jemals was von gelesen zu haben. Ok ein kurzes Benutzen von $suchmaschine bringt zu Tage das zumindest sendmail und exim sowas koennen. Ein lokales postconf|grep ident foerdert aber wiederrum nichts passendes fuer Postfix zutage. Hab ich jetzt die ident Nutzung schlechthin verpasst? Gruesse, Sven -- If God passed a mic to me to speak I'd say stay in bed, world Sleep in peace [The Cardigans - 03:45: No sleep]
Re: SSH-BruteForce-Attacken
Hallo Sven, * Sven Hoexter [EMAIL PROTECTED] [20050825 13:53]: Hm das bringt Dir genau welchen Vorteil? Ich wueste jetzt nicht warum ich den Zugriff auf einen Dienst wie ident beschraenken sollte. Aus exakt demselben Grund, aus dem man auch andere Einschränkungen vornimmt: Es soll nur das erlaubt/möglich sein, was wirklich nötig ist. Abgesehen davon ist es doch wohl hoechst selten das ein smtp Server ident Abfragen macht. Ja, aber es kommt vor. Bei IRC möchte fast jeder Server ident wissen. Grüße, Felix -- | /\ ASCII Ribbon | Felix M. Palmen (Zirias)http://zirias.ath.cx/ | | \ / Campaign Against | [EMAIL PROTECTED] encrypted mail welcome | | XHTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 | signature.asc Description: Digital signature
Re: SSH-BruteForce-Attacken
On Mon, Aug 22, 2005 at 10:40:52AM +0200, Felix M. Palmen wrote: Hi Felix, Mit dem recent Modul von netfilter ist das in etwa möglich, siehe die NOBF-Chain in meiner netfilter-Konfiguration unter http://www.akk.org/~zorg/config/iptables. Diese Chain wird für alle neuen Pakete an den SSH-Port angesprungen. Man beachte aber, dass iptables hier erwünschte Zugriffe nicht von denen der Scanner unterscheiden kann, 'hitcount' sollte also hinreichend groß bzw 'seconds' hinreichend groß sein um autorisierte Nutzer nicht zu stören. ich habe mir das Script mal angeschaut, eigentlich ist es mit den folgenden Zeilen ja getan, oder? # NOBF (Chain für BF-geschützte Dienste): iptables -N NOBF iptables -N BFLOG iptables -A NOBF -m recent --rcheck --name 'BF' --seconds 120 \ --hitcount 4 --rttl -j BFLOG iptables -A BFLOG -m recent --update --name 'BFLOG' --seconds 30 -j RETURN iptables -A BFLOG -m recent --set --name 'BFLOG' \ -j LOG --log-prefix 'Bruteforce: ' iptables -A NOBF -m recent --update --name 'BF' --seconds 120 \ --hitcount 4 --rttl -j LREJECT iptables -A NOBF -m recent --set --name 'BF' -j ACCEPT Nur was bedeuten die alle? Denn hitcount gibts in den manpages nicht. Könntest du das kurz umreissen? Dank und Gruß Stephan -- http://my.opera.com/schmiste/affiliate/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSH-BruteForce-Attacken
On 2005-08-23 19:13:06 +0200, Stephan Schmidt wrote: [iptables' recent Modul] Nur was bedeuten die alle? Denn hitcount gibts in den manpages nicht. Könntest du das kurz umreissen? In der Manpage zu iptables ist das recent Modul leider nicht beschrieben. Man findet aber eine Manpageabschnitt dazu im svn vom netfilter Projekt: http://svn.netfilter.org/cgi-bin/viewcvs.cgi/*checkout*/trunk/iptables/extensions/libipt_recent.man?content-type=text%2Fplainrev=3816 Wenn man weiß, wie so eine manpage im Rohformat aussieht, ist das lesen etwas einfacher, aber auch so ist diese Seite einigermassen lesbar. Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSH-BruteForce-Attacken
Hallo Andreas, * Andreas Appenheimer [EMAIL PROTECTED] [20050731 10:29]: Frage(n): * Wie gefährlich sind diese Attacken wirklich? Bei vernünftig gewählten Passwörtern würde ich sagen: Nicht gefährlich. * Ist es sinnvoll an den jeweiligen [EMAIL PROTECTED] 'ne Meldung zu schicken? Ist mir persönlich zu aufwändig, aber ist sicher bei jedem klar erkennbaren Einbruchsversuch sinnvoll. * Ist es sinnvoll bzw. überhaupt möglich solche IPs zu bannen/blocken(quasi als Sanktion)? Mit dem recent Modul von netfilter ist das in etwa möglich, siehe die NOBF-Chain in meiner netfilter-Konfiguration unter http://www.akk.org/~zorg/config/iptables. Diese Chain wird für alle neuen Pakete an den SSH-Port angesprungen. Man beachte aber, dass iptables hier erwünschte Zugriffe nicht von denen der Scanner unterscheiden kann, 'hitcount' sollte also hinreichend groß bzw 'seconds' hinreichend groß sein um autorisierte Nutzer nicht zu stören. Zusätzliche Sicherheit bringt das nur wenig, aber immerhin merken die Scanner, dass sie definitiv unerwünscht sind ;) Meine Sicherheitsstrategie sieht so aus: - Sichere Passwörter (mit Zahlen und Sonderzeichen) - Root-Login nur mit SSH-Key - Login als admin (der bei mir der einzige user in der wheel-group ist und su benutzen darf) über SSH überhaupt nicht möglich - scannende hosts mit Netfilter temporär blocken, s.o. Davon halte ich nur den ersten Punkt für wirklich entscheidend. Grüße, Felix -- | /\ ASCII Ribbon | Felix M. Palmen (Zirias)http://zirias.ath.cx/ | | \ / Campaign Against | [EMAIL PROTECTED] encrypted mail welcome | | XHTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 | signature.asc Description: Digital signature
Re: SSH-BruteForce-Attacken
* Ist es sinnvoll bzw. überhaupt möglich solche IPs zu bannen/blocken(quasi als Sanktion)? Möglich klar, aber sinnvoll: nein. Grund: Solche IPs sind in den meisten Fällen dynamische IPs. Das bedeutet, wenn Du jetzt die IP 1.2.3.4 sperrst, dann hat der Angreifer bei der nächsten Einwahl die IP 1.2.3.5 und kann weiter machen, während jemand ganz anderes nächstens die 1.2.3.4 hat und sich wundert, warum kein Kontakt zu Dir möglich ist. -- 5 GB Mailbox, 50 FreeSMS http://www.gmx.net/de/go/promail +++ GMX - die erste Adresse für Mail, Message, More +++ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSH-BruteForce-Attacken
Hallo Tom, * Tom Schmitt [EMAIL PROTECTED] [20050822 11:52]: * Ist es sinnvoll bzw. überhaupt möglich solche IPs zu bannen/blocken(quasi als Sanktion)? Möglich klar, aber sinnvoll: nein. Grund: Solche IPs sind in den meisten Fällen dynamische IPs. Das bedeutet, wenn Du jetzt die IP 1.2.3.4 sperrst, dann hat der Angreifer bei der nächsten Einwahl die IP 1.2.3.5 und kann weiter machen, während jemand ganz anderes nächstens die 1.2.3.4 hat und sich wundert, warum kein Kontakt zu Dir möglich ist. Da du die Antwort an mich richtest werde ich auch mal drauf antworten: Aus diesem Grund blockt mein netfilter-Script nur für eine bestimmte kurze Zeit. Grüße, Felix -- | /\ ASCII Ribbon | Felix M. Palmen (Zirias)http://zirias.ath.cx/ | | \ / Campaign Against | [EMAIL PROTECTED] encrypted mail welcome | | XHTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 | signature.asc Description: Digital signature
Re: SSH-BruteForce-Attacken
On Mon, 22 Aug 2005 11:52:12 +0200 (MEST) Tom Schmitt [EMAIL PROTECTED] wrote: * Ist es sinnvoll bzw. überhaupt möglich solche IPs zu bannen/blocken(quasi als Sanktion)? Möglich klar, aber sinnvoll: nein. Grund: Solche IPs sind in den meisten Fällen dynamische IPs. Das bedeutet, wenn Du jetzt die IP 1.2.3.4 sperrst, dann hat der Angreifer bei der nächsten Einwahl die IP 1.2.3.5 und kann weiter machen, während jemand ganz anderes nächstens die 1.2.3.4 hat und sich wundert, warum kein Kontakt zu Dir möglich ist. Ich glaube das blocken war anders gemeint. Und zwar so: ip 1.2.3.4 hat 3 mal das falsche passwort eingegeben - block der ip 1.2.3.4 2h sind vergangen - block ist abgelaufen, ip 1.2.3.4 könnte wieder verbinden, aber eine BruteForce Attake mit 3 Tests pro 2 Stunden ist nicht wirkungsvoll. Wenn es eine dynamische IP ist, dann könnte der Angreifer nach 3 Versuchen neuverbinden, ja, aber irgendwann geht das dem Provider aufm Sack und der sperrt die Leitung. Gruß Evgeni -- ^^^| Evgeni -SargentD- Golov ([EMAIL PROTECTED]) d(O_o)b | PGP-Key-ID: 0xAC15B50C -|- | WWW: www.die-welt.net ICQ: 54116744 / \| IRC: #sod @ irc.german-freakz.net pgpe7ONFqGzxZ.pgp Description: PGP signature
Re: SSH-BruteForce-Attacken
* Andreas Appenheimer: * Ist es sinnvoll bzw. überhaupt möglich solche IPs zu bannen/blocken(quasi als Sanktion)? Nachtrag für Faule: In sid gibts dafür seit kurzem das Paket fail2ban. Grüße, Andreas -- You will inherit millions of dollars. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSH-BruteForce-Attacken
Andreas Kroschel [EMAIL PROTECTED] wrote: * Andreas Appenheimer: * Ist es sinnvoll bzw. überhaupt möglich solche IPs zu bannen/blocken(quasi als Sanktion)? Nachtrag für Faule: In sid gibts dafür seit kurzem das Paket fail2ban. Ist es das, was Michelle vorgeschlagen hat? Guten Start in die neue Woche, Jörg. -- Was man mühelos erreichen kann, ist gewöhnlich nicht der Mühe wert, erreicht zu werden. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSH-BruteForce-Attacken
* Joerg Sommer: Nachtrag für Faule: In sid gibts dafür seit kurzem das Paket fail2ban. Ist es das, was Michelle vorgeschlagen hat? So in der Art; mit einem Dämon, der /var/log/auth.log beobachtet. Von den Abhängigkeiten her sollte es sich auch unter sarge installieren lassen. Grüße, Andreas -- You will be called upon to help a friend in trouble. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSH-BruteForce-Attacken
Hallo Joern, hallo Liste. [..] Derzeit hab ich ein kleines Shell-Skript geschrieben, was Teil a) mir die Auszüge der Logs bei Angriffen zusendet Teil b) über gwhois dann den jeweiligen ISP ermittelt, nebst herausgefilterten Emailadresse(n) und dann an diesen mit ner entsprechenden Mitteilung den Log-Auszug sendet. klar, warum nicht. Kannst du mir das Script mal zumailen? Würde mich auch mal interessieren. bin derzeit etwas in Stressl :-) Das Skript ist noch sehr unschön und weil ich es einfach so in den vim gehämmert habe auch noch lange nicht strukturiert... Keine Fehlerabfangroutinen blahfoo :-) Ich würde hiermit aber gerne ein kleines Projekt initiieren, (wegen mir hier auf der Liste --geht uns ja alle etwas an-- Linux hacken wird ja scheinbar grad populär) wo man mal so seinen bisherigen Kram in den Pott wirft und vielleicht eine kleine Skriptsammlung erzeugt um diese Problematik etwas zu erörtern/erhellen/bezwingen/foo :-) Ich denke, ich werde mich heute abend an die Überarbeitung des Skriptes setzen es dann hier posten :-) so long Andreas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSH-BruteForce-Attacken (Skript1,2,header,body)
Hallo Liste, Angekündigte Skripte: klar, warum nicht. Kannst du mir das Script mal zumailen? Würde mich auch mal interessieren. bin derzeit etwas in Stressl :-) [..] Ich denke, ich werde mich heute abend an die Überarbeitung des Skriptes setzen es dann hier posten :-) Meine Lösungen sind noch immer eher zusammen gehämmert :) Ich hoffe, ihr habt nachsehen. Ich würde mich freuen, wenn diese Skripte hier ergänzt oder gar verfeinert würden. 1.) Erstes Script soll mit gwhois wenn möglich die abuse-EMailaddresse herausfinden und auf dem Screen anzeigen: [location /root/bin/get_mail.sh]--- #!/bin/sh # # bin/get_mail.sh # # Desc: Ermittelt lediglich die Abuse-Mailadresse über gwhois von # dem attackierenden System # --== Quick 'n' Dirty Lösung! ==-- # # Authors: AndreasamazingAppenheimer, (weitere Autoren von der # Debian-Mailliste) # # Depends: gwhois (apt-get install ghwois) if [ $# -le 0 ] ; then echo Aufruf: $0 IP-Adresse exit fi # Variablen IP=$1 GWHOIS=/usr/bin/gwhois GREP=/bin/grep SCAN=`$GWHOIS $IP | $GREP [EMAIL PROTECTED] # Wenn keine Abuse-Adresse existiert: if [ -z '$SCAN' ] ; then echo Keine abuse-Mailadresse gefunden. echo Verwende alle aufspürbaren EMailadressen SCAN=`$GWHOIS $IP | $GREP @` fi # ToDo: awk oder sed zum herausfiltern der Mailadresse(n), # evtl. mit Übergabe an Subskript: bin/mail2abuse.sh # Ausgabe auf dem Bildschirm FILTERED= echo $SCAN echo paste copy following String: echo EMAIL=$FILTERED echo IP=$IP echo echo Danach das nächste Skript aufrufen: echo bin/mail2abuse.sh \$EMAIL \$IP SPECIAL-ANOUNCE # Special-Announce soll ein Zusatz sein, wie SSH-BruteForce # oder DNS-Spoofing o.ä. # To Be Continued :) [Ende Script1]-- 2.) Das zweite Skript soll eine EMail generieren aus: - dem gefilterten Log-File anhand der Variable $IP - der ermittelten EMailadresse für abuse - einem Header mit einleitenden Hinweisen an den Ziel-Admin und einem Body, indem ich nochmal selber meine Daten angebe wie EMailadresse, Telefon usw. [location /root/bin/mail2abuse.sh]--- #!/bin/sh # # bin/mail2abuse.sh # # Desc: Generiert eine EMail aus Logfile (auth.log), Header und Body # Eine Kontrollmail wird via BCC an einen selbst versendet. # # Attention: Bitte die Header und Body-Dateien anpassen! # --== Quick 'n' Dirty Lösung! ==-- # # Authors: AndreasamazingAppenheimer, (weitere Autoren von # der Debian-Mailliste) # # Depends: get_mail.sh, gwhois # Variablen: EMAIL=$1 IP=$2 SPECIAL=$3 ADMIN=[EMAIL PROTECTED] MAILHEADER=$HOME/bin/mail2abuse.header MAILBODY=$HOME/bin/mail2abuse.body LINE1=Current date: `date` LINE2=Server location: Land / Stadt LINE3=Hostname / IP: `hostname -f`, `hostname -i` LOG=/var/log/auth.log MAILTEMP=/tmp/mail2abuse_temp.txt SUBJECT=PLEASE STOP THIS: $SPECIAL-Intrusion-Attacks from your IP-NET # Check Parameter vorhanden if [ $# -le 0 ] ; then echo Format: $0 EMAIL IP SPECIAL exit 1 fi cat $MAILHEADER $MAILTEMP echo $LINE1 $MAILTEMP echo $LINE2 $MAILTEMP echo $LINE3 $MAILTEMP cat $MAILBODY $MAILTEMP cat $LOG | grep $IP $MAILTEMP cat $MAILTEMP | mail $EMAIL -b$ADMIN -s$SUBJECT # ToDo: variable SendeEMail (möglichst nicht als root@) # Zähler einbauen: nach dem Dritten Mal IP blocken #entsprechende Mitteilung generieren [Ende Script2]-- 3.) Mail-Header und -Body: [location /root/bin/mail2abuse.header]--- Hello Administrators, this is an automatic generated email. You got this mail, because lots of attacks were detected from your ip-net. Please stop this, else this IP will be blocked in our systems. [Ende mail2abuse.header]-- [location /root/bin/mail2abuse.body]--- Feel free to contact me: Vorname Familienname (Position) PLZ Stadt / Land +49-123-4567890 [EMAIL PROTECTED] Filtered log see below: [Ende mail2abuse.body]-- so long Andreas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSH-BruteForce-Attacken (sendlogs)
Hallo Liste, es fehlt jetzt nur noch, das ich mir via cronjob die logs zusenden lasse: [send_logs.sh]--- #!/bin/bash grep Failed password /var/log/auth.log | mail [EMAIL PROTECTED] -sFailed password on antares [ende send_logs.sh]-- so long Andreas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
SSH-BruteForce-Attacken
Hallo Welt, in letzter Zeit häufen sich wieder die SSH-BruteForce Attacken und ich bin darüber ziemlich abgenervt. Hauptgrund wahrscheinlich, weil einer meiner Root-Server mal über ein php-Forum von einem meiner Kunden gehackt wurde und der Angreifer es geschafft ein rootkit zu installieren. Frage(n): * Wie gefährlich sind diese Attacken wirklich? * Ist es sinnvoll an den jeweiligen [EMAIL PROTECTED] 'ne Meldung zu schicken? * Ist es sinnvoll bzw. überhaupt möglich solche IPs zu bannen/blocken(quasi als Sanktion)? Derzeit hab ich ein kleines Shell-Skript geschrieben, was Teil a) mir die Auszüge der Logs bei Angriffen zusendet Teil b) über gwhois dann den jeweiligen ISP ermittelt, nebst herausgefilterten Emailadresse(n) und dann an diesen mit ner entsprechenden Mitteilung den Log-Auszug sendet. Es erinnert mich aber irgendwie an die früheren Zeiten kurz nach Fidonet, wo man noch bei SPAM an die abuses gemailt hat oder sich zusammen gerottet hat und Teergruben baute. Genutzt hat es (wie man heute sieht) ja nicht wirklich etwas. Dennoch... mir gehen diese Attacken etwas sehr auf die Nerven. Das System selbst wird eigentlich ganz gut abgesichert, dh. exploits Systemseitig habe ich im Auge und Patches werden idR. spätestens mit 1 Tag delay eingepflegt. Immer aktueller Kern, alle verwendeten Passwörter sind 12-Stellig, mit pwgen generiert und werden spätestens alle 14 Tage erneuert. Kunden werden nun erzogen, wenn sie ein CMS verwenden auch die jeweiligen Exploits im Auge zu behalten und ohne echter Administration werden solche Systeme auf dem Kundenserver nicht mehr geduldet. Ferner wöchentliche Nerv-Mails wenn eins meiner SuchMuster-Skripte solche Sachen wie phpBB findet, dann entsprechende Mails an den Kunden geschickt werden: Du hast phpBB installiert. Vergiss die Patches nicht! Gruß Andreas -- Andreas-Christian Appenheimer Kösters Busch 47 | 45141 Essen | Fon: 0201-211 4 99 | Mail: [EMAIL PROTECTED] LinuxUser #274748 at http://counter.li.org/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSH-BruteForce-Attacken
On Sun, Jul 31, 2005 at 10:29:36AM +0200, Andreas Appenheimer wrote: in letzter Zeit häufen sich wieder die SSH-BruteForce Attacken und ich bin darüber ziemlich abgenervt. Hauptgrund wahrscheinlich, weil einer meiner Root-Server mal über ein php-Forum von einem meiner Kunden gehackt wurde und der Angreifer es geschafft ein rootkit zu installieren. Frage(n): * Wie gefährlich sind diese Attacken wirklich? Das hängt von der Qualität der verwendeten Passwörter ab. Also john laufen lassen und User passend LARTen. * Ist es sinnvoll bzw. überhaupt möglich solche IPs zu bannen/blocken(quasi als Sanktion)? Automatisch? Ohne echte User auszusperren? Nein. Manuell läßt sich schon was machen, zumindest wenn du unterstellst, daß deine User selten Urlaub in Korea machen. An der Problematik (schwache Passwörter) ändert das aber rein gar nichts. Das System selbst wird eigentlich ganz gut abgesichert, dh. exploits Systemseitig habe ich im Auge und Patches werden idR. spätestens mit 1 Tag delay eingepflegt. Immer aktueller Kern, alle verwendeten Passwörter sind 12-Stellig, mit pwgen generiert und werden spätestens alle 14 Tage erneuert. Bei SSH sollte man besser mit Keys arbeiten und Pwd- Login abschalten. cu ulf -- Ulf Volmer [EMAIL PROTECTED] +49-2271-837590 www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSH-BruteForce-Attacken
Also sprach Andreas Appenheimer [EMAIL PROTECTED] (Sun, 31 Jul 2005 10:29:36 +0200): Hallo Welt, in letzter Zeit häufen sich wieder die SSH-BruteForce Attacken und ich bin darüber ziemlich abgenervt. Hauptgrund wahrscheinlich, weil einer meiner Root-Server mal über ein php-Forum von einem meiner Kunden gehackt wurde und der Angreifer es geschafft ein rootkit zu installieren. Frage(n): * Wie gefährlich sind diese Attacken wirklich? nicht sehr. die verwendeten usernames werden zwar immer kreativer, die passwoerter aber nicht. allerdings sind sie laesstig und deswegen verwende ich mittlerweile einen knockdaemon oder binde ssh an einen anderen port oder verwende x6g89t5f als user und 7^!A-Bd# als pass ;) * Ist es sinnvoll an den jeweiligen [EMAIL PROTECTED] 'ne Meldung zu schicken? wie sinnvoll das ist haengt sicher von der anderen seite ab. manchmal: ja, oefter: leider nein. * Ist es sinnvoll bzw. überhaupt möglich solche IPs zu bannen/blocken(quasi als Sanktion)? eher nein. ich hab selten gleiche IPs geloggt. vielleicht waere es sinnvoll gewisse bereiche, von denen eigentlich keine anfrage kommen kann sowieso zu blocken. zb. nur adressen aus .de/.at/.ch (woher halt der kunde kommt) zulassen. wie das mit den ip-adress-bereichen aussieht kann ich nicht sagen - nur als spontane idee. dann hab ich aber auch einige besonders hartnaeckige attacken in den logs, die sich ueber fast eine stunde hinziehen. ein kleines script dass die ip ins abseits schickt kann hier nicht schaden. [...] Gruß Andreas sl ritch
Re: SSH-BruteForce-Attacken
Ulf Volmer schrieb: * Ist es sinnvoll bzw. überhaupt möglich solche IPs zu bannen/blocken(quasi als Sanktion)? Automatisch? Ohne echte User auszusperren? Nein. Manuell läßt sich schon was machen, zumindest wenn du unterstellst, daß deine User selten Urlaub in Korea machen. An der Problematik (schwache Passwörter) ändert das aber rein gar nichts. ich meinte eher eine Art Sanktion gegen die ISPs.. damit die Mails an die jeweiligen Abuse's nicht in /dev/null landen :) gut ich bin einer von Millionen.. aber wenn sich das durchsetzen würde und es zb. eine Blacklist für sowas gäbe.. Es gibt ja immerhin auch Blacklists für open-relay Mailserver, da bin ich ja zb auch genötigt als Betreiber im Falle des Falles, den da wieder raus zu bekommen. Und im Falle des Einwahlproviders täten sich dann die 100% funktionsfähigen IPs verringern.. (alles nur 'ne Idee!) Das System selbst wird eigentlich ganz gut abgesichert, dh. exploits Systemseitig habe ich im Auge und Patches werden idR. spätestens mit 1 Tag delay eingepflegt. Immer aktueller Kern, alle verwendeten Passwörter sind 12-Stellig, mit pwgen generiert und werden spätestens alle 14 Tage erneuert. Bei SSH sollte man besser mit Keys arbeiten und Pwd- Login abschalten. Ah.. Danke.. das wollt ich eh noch machen. Wobei SSH lediglich von weniger als einer Handvoll genutzt wird/bereit steht. Die meisten haben reine FTP/POP-Accounts. Gruß Andreas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSH-BruteForce-Attacken
Moin Andreas, Am 2005-07-31 10:29:36, schrieb Andreas Appenheimer: Hallo Welt, in letzter Zeit häufen sich wieder die SSH-BruteForce Attacken und ich bin darüber ziemlich abgenervt. Hauptgrund wahrscheinlich, weil einer meiner Root-Server mal über ein php-Forum von einem meiner Kunden gehackt wurde und der Angreifer es geschafft ein rootkit zu installieren. C'est la vie! Frage(n): * Wie gefährlich sind diese Attacken wirklich? Ich habe pro Tag 5-200 Dictionary Attacken auf meinen SSH. Seit gut 1 1/2 Jahren. Mittlerweile ignoriere ich sie. Und damit meine Syslog nicht eplodiert und unübersichtlich wird, habe ich für den sshd einen eigene logdatei angelegt. * Ist es sinnvoll an den jeweiligen [EMAIL PROTECTED] 'ne Meldung zu schicken? JA, wenn aus den IP's der Providers die Attacken sich häufen. (Du benötigst dafür ALLE logdateien als Beweis) * Ist es sinnvoll bzw. überhaupt möglich solche IPs zu bannen/blocken(quasi als Sanktion)? Ich bin noch am basteln aber nicht sehr weit gekommen. Man kann in der /etc/hosts.allow sowas wie sshd: ALL: (/bin/echo Zugriff von %c auf %s |\ /usr/bin/mail -s %d-Zugriff [EMAIL PROTECTED]) da reinmachen oder andere scripts die dann dynamisch iptables setzen. und nach einer gewissen zeit wieder löschen. Ich will es so machen: 1) 3 maliger Fehlzugriff IP wird eine Stunge gesperrt 2) 2 malige IP Sperrung am TAG IP wird 24 Stunden gesperrt 3) 2 mal 24h Sperre pro Woche Ich benachrichtige den ISP. Derzeit hab ich ein kleines Shell-Skript geschrieben, was Teil a) mir die Auszüge der Logs bei Angriffen zusendet Teil b) über gwhois dann den jeweiligen ISP ermittelt, nebst herausgefilterten Emailadresse(n) und dann an diesen mit ner entsprechenden Mitteilung den Log-Auszug sendet. So ungefähr mache ich es auch. Es erinnert mich aber irgendwie an die früheren Zeiten kurz nach Fidonet, wo man noch bei SPAM an die abuses gemailt hat oder sich zusammen gerottet hat und Teergruben baute. :-D :-D :-D :-D :-D :-D :-D :-D :-D :-D Genutzt hat es (wie man heute sieht) ja nicht wirklich etwas. Genau. Dennoch... mir gehen diese Attacken etwas sehr auf die Nerven. Lösung: Ganz lange passwörter verwenden und statt in Syslog in eine eigenen Datei loggen Kunden werden nun erzogen, wenn sie ein CMS verwenden auch die jeweiligen Exploits im Auge zu behalten und ohne echter Administration werden solche Systeme auf dem Kundenserver nicht mehr geduldet. Ferner wöchentliche Nerv-Mails wenn eins meiner SuchMuster-Skripte solche Sachen wie phpBB findet, dann entsprechende Mails an den Kunden geschickt werden: Du hast phpBB installiert. Vergiss die Patches nicht! Was sagen die Kunden dazu ? Gruß Andreas Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: SSH-BruteForce-Attacken
Richard Mittendorfer schrieb: Frage(n): * Wie gefährlich sind diese Attacken wirklich? [..] allerdings sind sie laesstig und deswegen verwende ich mittlerweile einen knockdaemon oder binde ssh an einen anderen port oder verwende x6g89t5f als user und 7^!A-Bd# als pass ;) anderer Port, auch 'ne gute Idee! knockdaemon? Ein Teil der Debian-Sarge-Dist? * Ist es sinnvoll an den jeweiligen [EMAIL PROTECTED] 'ne Meldung zu schicken? wie sinnvoll das ist haengt sicher von der anderen seite ab. manchmal: ja, oefter: leider nein. eben deswegen ne Meldung (geht allerdings nur, wenn technisch umsetzbar) das diese IP nun gelockt/geblockt sei.. * Ist es sinnvoll bzw. überhaupt möglich solche IPs zu bannen/blocken(quasi als Sanktion)? eher nein. ich hab selten gleiche IPs geloggt. vielleicht waere es sinnvoll gewisse bereiche, von denen eigentlich keine anfrage kommen kann sowieso zu blocken. zb. nur adressen aus .de/.at/.ch (woher halt der kunde kommt) zulassen. wie das mit den ip-adress-bereichen aussieht kann ich nicht sagen - nur als spontane idee. nunja.. Problem ist zb AOL.. ich weiß nicht wieviele Millionen User.. zumindest mehrere gigantische IP-Bereiche. Ebenfalls T-Online mit der Endung .net . Statt TLD-seitig täte ich doch eher die einzelnen IPs blocken wollen. Wunsch(denken) ist nachwievor so 'ne Blacklist :-) Irgendwann -- ähnlich der EMAIL-SPAM-Technik -- wäre ein Aussortieren / Sperren / Blocken dann soweit, das es in der Stagnation endet und der Sinn des Internets verloren geht.. dann hab ich aber auch einige besonders hartnaeckige attacken in den logs, die sich ueber fast eine stunde hinziehen. ein kleines script dass die ip ins abseits schickt kann hier nicht schaden. Jep.. gar mehrere Stunden. Dabei zuzusehen macht mir gänsehaut, obwohl ich weiß, das zB. der User mysql sich gar nicht einloggen kann und root-login ebenfalls abgeschaltet ist... Abseits-skript .. machst Du das mit iptables? Gruß Andreas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSH-BruteForce-Attacken
Andreas Appenheimer [EMAIL PROTECTED] schrieb: Richard Mittendorfer schrieb: Frage(n): * Wie gefährlich sind diese Attacken wirklich? [..] allerdings sind sie laesstig und deswegen verwende ich mittlerweile einen knockdaemon oder binde ssh an einen anderen port oder verwende x6g89t5f als user und 7^!A-Bd# als pass ;) anderer Port, auch 'ne gute Idee! knockdaemon? Ein Teil der Debian-Sarge-Dist? apt-cache search knockd Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSH-BruteForce-Attacken
Moin Michelle, [..] php-Forum von einem meiner Kunden gehackt wurde und der Angreifer es geschafft ein rootkit zu installieren. C'est la vie! :) Frage(n): * Wie gefährlich sind diese Attacken wirklich? Ich habe pro Tag 5-200 Dictionary Attacken auf meinen SSH. Seit gut 1 1/2 Jahren. Mittlerweile ignoriere ich sie. Und damit meine Syslog nicht eplodiert und unübersichtlich wird, habe ich für den sshd einen eigene logdatei angelegt. Gut.. bis zum o.g. Einbruch habe ich es ähnlich betrachtet. Doch ich denke, ich werde da dann mal wieder etwas mehr Gelassenheit üben :-) Du hattest doch solch Server zu administreiren mit 17.000 Usern oder so? * Ist es sinnvoll an den jeweiligen [EMAIL PROTECTED] 'ne Meldung zu schicken? JA, wenn aus den IP's der Providers die Attacken sich häufen. (Du benötigst dafür ALLE logdateien als Beweis) Die Logdateien sind immer im Anhang. Die Mail dafür generiert ein Script, wo auch nochmal erwähnt wird, welcher Serverstandort und welche Zeitzone (nebst ausführlichen Timestamp), damit z.b. auch die Koreaner dat peilen können, wat 12:00 Mittags ist:-) * Ist es sinnvoll bzw. überhaupt möglich solche IPs zu bannen/blocken(quasi als Sanktion)? Ich bin noch am basteln aber nicht sehr weit gekommen. Man kann in der /etc/hosts.allow sowas wie sshd: ALL: (/bin/echo Zugriff von %c auf %s |\ /usr/bin/mail -s %d-Zugriff [EMAIL PROTECTED]) da reinmachen oder andere scripts die dann dynamisch iptables setzen. und nach einer gewissen zeit wieder löschen. Ich will es so machen: 1) 3 maliger Fehlzugriff IP wird eine Stunge gesperrt 2) 2 malige IP Sperrung am TAG IP wird 24 Stunden gesperrt 3) 2 mal 24h Sperre pro Woche Ich benachrichtige den ISP. Dieser Ansatz gefällt mir! Auch, das Du nicht sofort an den ISP meldest. [..] Es erinnert mich aber irgendwie an die früheren Zeiten kurz nach Fidonet, wo man noch bei SPAM an die abuses gemailt hat oder sich zusammen gerottet hat und Teergruben baute. :-D :-D :-D :-D :-D :-D :-D :-D :-D :-D :-) auch aus der alten Zeit übrig geblieben? Genutzt hat es (wie man heute sieht) ja nicht wirklich etwas. Genau. Dennoch... mir gehen diese Attacken etwas sehr auf die Nerven. Lösung: Ganz lange passwörter verwenden und statt in Syslog in eine eigenen Datei loggen Danke. Es kommen hier ja grad recht schnell gute Maßnahmen zusammen. Kunden werden nun erzogen, [..] Was sagen die Kunden dazu ? Je weniger technisches Verständnis vorhanden ist, desto größer die Empörung. Nach 'nem Telefonat ist das allerdings schnell geklärt. Ich verweise in den Fällen Dann geh' ich eben zu 'nem anderen Provider! auf die AGBs der jeweiligen, worin verschiedene Passi stehen, die auf die Verantwortlichkeit über verwendete Perl/PHP-Skripte hingewiesen wird. Danach sind Kunden idR. wieder friedlich. Das Problem PHP ist damit allerdings auch noch nicht gelöst :-/ Gruß Andreas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSH-BruteForce-Attacken
Moin Andreas, [..] Frage(n): * Wie gefährlich sind diese Attacken wirklich? [..] allerdings sind sie laesstig und deswegen verwende ich mittlerweile einen knockdaemon oder binde ssh an einen anderen port oder verwende x6g89t5f als user und 7^!A-Bd# als pass ;) anderer Port, auch 'ne gute Idee! knockdaemon? Ein Teil der Debian-Sarge-Dist? apt-cache search knockd Dank! gruß Andreas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSH-BruteForce-Attacken
Am 2005-07-31 12:08:54, schrieb Andreas Appenheimer: Moin Michelle, [..] php-Forum von einem meiner Kunden gehackt wurde und der Angreifer es geschafft ein rootkit zu installieren. C'est la vie! :) Frage(n): * Wie gefährlich sind diese Attacken wirklich? Ich habe pro Tag 5-200 Dictionary Attacken auf meinen SSH. Seit gut 1 1/2 Jahren. Mittlerweile ignoriere ich sie. Und damit meine Syslog nicht eplodiert und unübersichtlich wird, habe ich für den sshd einen eigene logdatei angelegt. Gut.. bis zum o.g. Einbruch habe ich es ähnlich betrachtet. Doch ich denke, ich werde da dann mal wieder etwas mehr Gelassenheit üben :-) Du hattest doch solch Server zu administreiren mit 17.000 Usern oder so? 1) Mailserver: 17.000 Mail ONLY User 2) VServer:4800 VHosts jeder zugriff ausschließlich per 'ssh' und 'scp' Meine $USER waren garnicht so über 'ssh' und 'scp' erbaut, nur nachem ich ihnen mal ne 100.000 kByte große sshd.log und proftpd.log zugesand hatte hatten sie ihre Meinung geändert... Dieser Ansatz gefällt mir! Auch, das Du nicht sofort an den ISP meldest. Nur funktioniert leider mein Script nicht so wie ich will, weil irgendwas im programaufruf in der /etc/hosts.allow nicht stimmt Der syntax oben ist übrigends aus der manpage. Aber er fabriziert einen Fehler... :-) auch aus der alten Zeit übrig geblieben? Ich hatte mir aus dieversen newsgroups rootkits besorgt... Bei einem Angriff hatte ich ein Script, das automatisch die angreifende IP attackiert und die Workststion bzw den Server disabled. :-D Je weniger technisches Verständnis vorhanden ist, desto größer die Empörung. Nach 'nem Telefonat ist das allerdings schnell geklärt. Wie bei mir mit 'ssh' und 'scp'. Vor allem das die nun Passwörter mit mehr als 16 Zeichen eingeben müssen nervt sie. Einige Windows Programme können das nicht !!! Ich verweise in den Fällen Dann geh' ich eben zu 'nem anderen Provider! auf die AGBs der jeweiligen, worin verschiedene Passi stehen, die auf die Verantwortlichkeit über verwendete Perl/PHP-Skripte hingewiesen wird. Danach sind Kunden idR. wieder friedlich. :-) Das Problem PHP ist damit allerdings auch noch nicht gelöst :-/ :-( Gruß Andreas Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: SSH-BruteForce-Attacken
On 2005-07-31 10:29:36 +0200, Andreas Appenheimer wrote: Hallo Welt, in letzter Zeit häufen sich wieder die SSH-BruteForce Attacken und ich bin darüber ziemlich abgenervt. Hauptgrund wahrscheinlich, weil einer meiner Root-Server mal über ein php-Forum von einem meiner Kunden gehackt wurde und der Angreifer es geschafft ein rootkit zu installieren. * Ist es sinnvoll bzw. überhaupt möglich solche IPs zu bannen/blocken(quasi als Sanktion)? Ich habe auch schon nach Lösungen dafür gesucht. Gefunden habe ich - http://www.pettingers.org/code/SSHBlack.html ein Perl-Skript, das die Logs überwacht und die passenden iptables-Regeln erstellt - http://www.debian-administration.org/articles/187 http://blog.andrew.net.au/2005/02/17#ipt_recent_and_ssh_attacks (es gibt noch mehr Seiten mit ähnlichen Regeln) reine iptables-Regeln, die das Blocken bei zu vielen neuen Verbindungen blocken und nach etwas Zeit wieder frei geben Ich teste momentan auf mehreren Rechner die reine iptables Lösung. Dabei sei zu erwähnen, dass laut http://blog.blackdown.de/2005/05/09/fixing-the-ipt_recent-netfilter-module/ das recent-Modul einen Bug hat bei uptime 25d. Was das ganze für Server leider etwas untauglich macht, solange der Bug nicht gefixt ist. Auf http://cert.uni-stuttgart.de/archive/suse/security/2005/02/msg00025.html findet man Regeln, wie man auch mal etwas länger blocken kann, nachdem die Regeln einmal zugeschlagen haben. Wenn du es deinen Usern klarmachen kannst, kannst ja auch mal versuchen, den SSH-Port wo anders hinzupacken. So laufen dann halt die Skripte der ScriptKiddies ins Leere. Bei meinem eigenen Rechner habe ich das so gemacht, aber dort bin ich der einzige User :) Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSH-BruteForce-Attacken
On Sun, 31 Jul 2005, Andreas Appenheimer wrote: in letzter Zeit häufen sich wieder die SSH-BruteForce Attacken und ich bin darüber ziemlich abgenervt. naja, es ist nicht schön, aber es sollte auch den Blutdruck nicht hochtreiben. Hauptgrund wahrscheinlich, weil einer meiner Root-Server mal über ein php-Forum von einem meiner Kunden gehackt wurde und der Angreifer es geschafft ein rootkit zu installieren. Das wiederum ist ein Ärgernis. Hat aber mit den SSH-Angriffen eigentlich nicht viel zu tun. Frage(n): * Wie gefährlich sind diese Attacken wirklich? Die Gefährlichkeit steht in direkter (entgegengesetzer) Relation zur Komplexität deiner Kennwörter. * Ist es sinnvoll an den jeweiligen [EMAIL PROTECTED] 'ne Meldung zu schicken? naja, es ist zeitraubend. Kann aber schon etwas bringen. Ich wurde selbst schon angeschrieben, weil Root-Server meiner Kunden unbemerkt ssh-attacken gefahren haben. Dank der Mail konnte ich dann eingreifen. Ohne hätte ich es wohl auch irgendwann gemerkt, aber wahrscheinlich nicht so schnell. * Ist es sinnvoll bzw. überhaupt möglich solche IPs zu bannen/blocken(quasi als Sanktion)? Bei statischen IPs, die über einen längeren Zeitraum angreifen kann das durchaus helfen. Je nach Szenario solltest du dir sowieso überlegen, ob dein SSH-Port für jeden offen sein muss, oder ob es nicht reicht nur bestimmte IPs / Netze durch die Firewall zu lassen. Als Zwischenlösung käme dann noch Port-Knocking in Betracht. Derzeit hab ich ein kleines Shell-Skript geschrieben, was Teil a) mir die Auszüge der Logs bei Angriffen zusendet Teil b) über gwhois dann den jeweiligen ISP ermittelt, nebst herausgefilterten Emailadresse(n) und dann an diesen mit ner entsprechenden Mitteilung den Log-Auszug sendet. klar, warum nicht. Kannst du mir das Script mal zumailen? Würde mich auch mal interessieren. Es erinnert mich aber irgendwie an die früheren Zeiten kurz nach Fidonet, wo man noch bei SPAM an die abuses gemailt hat oder sich zusammen gerottet hat und Teergruben baute. Genutzt hat es (wie man heute sieht) ja nicht wirklich etwas. naja, automatisiert ist der Aufwand ja erträglich. Und es gibt bestimmt noch verantwortungsbewusste Hostmaster, die auf solche Mails generieren. Aber es wäre natürlich naiv anzunehmen, dass man damit das grundsätzliche Problem aus der Welt schafft oder meßbar eindämmt. Das System selbst wird eigentlich ganz gut abgesichert, dh. exploits Systemseitig habe ich im Auge und Patches werden idR. spätestens mit 1 Tag delay eingepflegt. Immer aktueller Kern, alle verwendeten Passwörter sind 12-Stellig, mit pwgen generiert und werden spätestens alle 14 Tage erneuert. hört sich gut an. Dann solltest du beruhigt schlafen können und musst dir um die Brute-Force-Attacken keine Sorgen machen. Kunden werden nun erzogen, wenn sie ein CMS verwenden auch die jeweiligen Exploits im Auge zu behalten und ohne echter Administration werden solche Systeme auf dem Kundenserver nicht mehr geduldet. Naja, das gehört dann in die Kategorie organisatorische Probleme. Dafür gibts leider Patentlösungen. Wir kämpfen mit den selben Problemen. Das finde ich sehr viel nervraubender als irendwelche SSH-Attacken. Ferner wöchentliche Nerv-Mails wenn eins meiner SuchMuster-Skripte solche Sachen wie phpBB findet, dann entsprechende Mails an den Kunden geschickt werden: Du hast phpBB installiert. Vergiss die Patches nicht! phpBB auf Shared-Servern ist immer etwas problematisch. Wenn du das Sicherheitslevel wirklich effektiv erhöhen willst, dann verkauf deinen Kunden nur noch komplette Vserver-Instanzen. Das ist meiner Erfahrung nach die effektivste und unproblematischte Chroot-Umgebung, die es momentan gibt. Wir setzen dafür UML-Linux ein. Gruß, Jörn Bredereck B W Networx GmbH Co. KG
Re: SSH-BruteForce-Attacken
On Sun, 31 Jul 2005, Andreas Appenheimer wrote: Bei SSH sollte man besser mit Keys arbeiten und Pwd- Login abschalten. Ah.. Danke.. das wollt ich eh noch machen. Wobei SSH lediglich von weniger als einer Handvoll genutzt wird/bereit steht. Die meisten haben reine FTP/POP-Accounts. ...was natürlich unter dem Aspket der Sicherheit noch problematischer ist. Dann lieber SFTP mit Kennwörtern benutzen. Gruß, Jörn Bredereck B W Networx GmbH Co. KG
Re: SSH-BruteForce-Attacken
On Sun, 31 Jul 2005, Andreas Appenheimer wrote: Je weniger technisches Verständnis vorhanden ist, desto größer die Empörung. Nach 'nem Telefonat ist das allerdings schnell geklärt. Ich verweise in den Fällen Dann geh' ich eben zu 'nem anderen Provider! auf die AGBs der jeweiligen, worin verschiedene Passi stehen, die auf die Verantwortlichkeit über verwendete Perl/PHP-Skripte hingewiesen wird. Danach sind Kunden idR. wieder friedlich. Das Problem PHP ist damit allerdings auch noch nicht gelöst :-/ naja, aber du kannst es eindämmen. Vserver sind billig. Und wenn sich ein Kunde seinen Vserver hacken lässt, dann hat eben nur dieser Kunde ein Problem und deine restlichen Kunden bleiben davon unberührt. Außerdem kannst du anhand der IP-Adresse besser unterscheiden wer wirklich gehacked wurde. Und wenn der Kunde für den Vserver selbst das Root-PW hat, ist auch die Zuständigkeits- und Haftungs-Frage geklärt. Gruß, Jörn Bredereck B W Networx GmbH Co. KG
Re: SSH-BruteForce-Attacken
Also sprach Andreas Appenheimer [EMAIL PROTECTED] (Sun, 31 Jul 2005 11:40:57 +0200): Richard Mittendorfer schrieb: Frage(n): * Wie gefährlich sind diese Attacken wirklich? [..] allerdings sind sie laesstig und deswegen verwende ich mittlerweile einen knockdaemon oder binde ssh an einen anderen port oder verwende x6g89t5f als user und 7^!A-Bd# als pass ;) anderer Port, auch 'ne gute Idee! knockdaemon? Ein Teil der Debian-Sarge-Dist? knockd wurde 'eh schon von Andreas genannt. den verwende ich und er tut was er soll. was mich aber etwas nervt, ist das man ihm keinen port-range an dem er listen soll zuweisen kann. somit frisst er bei jeder netzwerkaktivitaet etwas cpu und eventuell auch etwas bandbreite. [...] dann hab ich aber auch einige besonders hartnaeckige attacken in den logs, die sich ueber fast eine stunde hinziehen. ein kleines script dass die ip ins abseits schickt kann hier nicht schaden. Jep.. gar mehrere Stunden. Dabei zuzusehen macht mir gänsehaut, obwohl ich weiß, das zB. der User mysql sich gar nicht einloggen kann und root-login ebenfalls abgeschaltet ist... Abseits-skript .. machst Du das mit iptables? jep. durchs auslesen der auth.log oder messages(wenn eine iptables -j LOG auf dem sshd liegt) und dann damit eine rule in eine block chain einfuegen. sollte eigentlich mit einem der log-eintraege-erkennungs-programme besser gehen, ich verwend' einen cronjob dafuer. Gruß Andreas sl ritch
Re: SSH-BruteForce-Attacken
Andreas Appenheimer [EMAIL PROTECTED] wrote: [SSH-Angriffe] Es erinnert mich aber irgendwie an die früheren Zeiten kurz nach Fidonet, wo man noch bei SPAM an die abuses gemailt hat oder sich zusammen gerottet hat und Teergruben baute. Guter Einwand. Gibt es eigentlich für SSH Teergruben? Jörg. -- Die Katze steht im Mittelpunkt unserer Arbeit. Alles was wir tun, ist für sie. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSH-BruteForce-Attacken
Moin! On Sun, Jul 31, 2005 at 10:29:36AM +0200, Andreas Appenheimer wrote: [siehe Topic] Gibt es eigentlich irgendwo eine Liste der Benutzernamen, die da ausprobiert werden? Ich war neulich nicht wenig überrascht, als ich im Log zwei 'normale' Benutzernamen fand, über die ein Einbruch probiert wurde, und bin mir jetzt etwas unsicher, ob das nur Zufall war oder die Benutzernamen 'irgendwie' herausgefunden wurden. Konkret: Es geht um die Benutzernamen 'peter' und 'tom', die wahrscheinlich nicht wirklich selten sind. Wolf -- Büroschimpfwort des Tages: Faxbezwinger - Kollege, der ständig Papierstau verursacht. (Sven-Lukas Müller) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSH-BruteForce-Attacken
Hi! Gibt es eigentlich irgendwo eine Liste der Benutzernamen, die da ausprobiert werden? Ich war neulich nicht wenig überrascht, als ich im Genauso wie es Listen mit Passwörtern gibt: ftp://ftp.openwall.com/pub/wordlists/ wird es auch welche mit beliebten Benutzernamen geben. Meistens sind es ja wirklich die typischen Accountnamen (root, admin, test usw.) und dazu noch englische Namen wie halt Tom, Peter, Charlie, Kyle, Jon usw. Nur irgendwann geht einem das auf den Kecks. Vor einer Woche hatte ich schon wieder 200kB SSH-Logs im root-Postfach. Bei mir sind es ja immerhin zu 90% feste IPs von irgendwelchen Unis in Europa oder Amerika. Da hilft dann immer eine nette Mail an abuse@ und dann ist wieder Ruhe. :-) Also ich würde mir da keine großen Sorgen machen wenn die User alle ein vernünftiges PW gesetzt haben. Gehen die Angriffe aber außschließlich gegen vorhandene Benutzer sieht das natürlich wieder anders aus. Aber das ist bei dir ja nicht der Fall. Gruß Thorsten -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
