Andauernter "Hack" versuch, waskann/soll ich noch tun?

[holeshoot]

Hallo liebe Leute,

nach einiger Zeit abstinents habe ich auch mal wieder ein noch nicht existentes Problem.

Und zwar versuchen ca 2-3 Personen (IP´s) auf meinen Server zu kommen (ssh), nur langsam ohne das es vulgär klingt geht es mir auf den Sack.

Habe schon mein PW auf über 20igstellig inkl. Sonderzeichen erweitert und meine Ports verlegt, jedoch meine Authlog wird vollgespammt.

Jan 8 04:23:24 vs sshd[26222]: Address 63.118.229.149 maps to host149.geocap.com, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
Jan 8 04:26:01 vs CRON[30517]: (pam_unix) session opened for user root by (uid=0)
Jan 8 04:26:01 vs CRON[30517]: (pam_unix) session closed for user root
Jan 8 04:26:52 vs CRON[18147]: (pam_unix) session closed for user root
Jan 8 04:30:01 vs CRON[5551]: (pam_unix) session opened for user root by (uid=0)
Jan 8 04:30:02 vs CRON[5551]: (pam_unix) session closed for user root
Jan 8 04:39:01 vs CRON[22157]: (pam_unix) session opened for user root by (uid=0)
Jan 8 04:39:01 vs CRON[22157]: (pam_unix) session closed for user root
Jan 8 04:40:01 vs CRON[24016]: (pam_unix) session opened for user root by (uid=0)
Jan 8 04:40:02 vs CRON[24016]: (pam_unix) session closed for user root
Jan 8 04:50:01 vs CRON[10113]: (pam_unix) session opened for user root by (uid=0)
Jan 8 04:50:01 vs CRON[10113]: (pam_unix) session closed for user root
Jan 8 04:56:21 vs sshd[22487]: Illegal user test from 210.212.12.162
Jan 8 04:56:23 vs sshd[22497]: Illegal user test from 210.212.12.162
Jan 8 04:56:24 vs sshd[22512]: Illegal user test from 210.212.12.162
Jan 8 04:56:26 vs sshd[22522]: Illegal user robert from 210.212.12.162
Jan 8 04:56:27 vs sshd[23554]: Illegal user robert from 210.212.12.162
Jan 8 04:56:28 vs sshd[23559]: Illegal user roberto from 210.212.12.162
Jan 8 04:56:30 vs sshd[23569]: Illegal user roberto from 210.212.12.162
Jan 8 04:56:31 vs sshd[23577]: Illegal user test from 210.212.12.162
Jan 8 04:56:32 vs sshd[23595]: Illegal user test from 210.212.12.162
Jan 8 04:56:34 vs sshd[23606]: Illegal user test from 210.212.12.162
Jan 8 04:56:35 vs sshd[23613]: Illegal user test from 210.212.12.162
Jan 8 04:56:36 vs sshd[23622]: Illegal user test from 210.212.12.162
.....
Jan 8 05:04:11 vs sshd[5444]: Illegal user unknown from 210.212.12.162
Jan 8 05:04:13 vs sshd[5450]: Illegal user unknown from 210.212.12.162
Jan 8 05:04:18 vs sshd[5488]: Illegal user vcsa from 210.212.12.162
Jan 8 05:04:20 vs sshd[5504]: Illegal user vcsa from 210.212.12.162
Jan 8 05:04:20 vs sshd[5513]: Did not receive identification string from 210.212.12.162
Jan 8 05:09:01 vs CRON[12220]: (pam_unix) session opened for user root by (uid=0)
Jan 8 05:09:01 vs CRON[12220]: (pam_unix) session closed for user root
Jan 8 05:10:01 vs CRON[14113]: (pam_unix) session opened for user root by (uid=0)
Jan 8 05:10:02 vs CRON[14113]: (pam_unix) session closed for user root
Jan 8 05:12:14 vs sshd[18300]: Did not receive identification string from 65.221.252.213

kann ich noch etwas machen? in Richtung rechtliche Schritte etc, hatte auch schon Angriffe von nem Unirechner aus Ungarn.

Oder ganz einfach hinnehmen das Ganze?

Vielen Dank an alle...

Björn

 

[marneus]

Über sowas regst Du Dich auf? Was tust Du bei ernsthaften Problemen? Ganz im Ernst, den erhöhten Blutdruck kannst Du Dir für andere Dinge bewahren.

Rechtliche Schritte sind unnötig. Es ist ja auch überhaupt nichts passiert.

Verlege den SSH-Port, verbiete den Root-Login, Installiere Fail2Ban oder Denyhosts und die Sache ist vorbei.

--marneus

 

[ReVoLt]

Wenn er viel Langeweile hat kann er sich an die abuse Adresse richten die im Whoiseintrag stehen sollte.

 

[charli]

Hallo,

Habe schon mein PW auf über 20igstellig inkl. Sonderzeichen erweitert

das hat damit nix zu tun, es werden Loginversuche protokolliert.

und meine Ports verlegt

den SSH-Port? Dann sollten die Logeinträge wesentlich zurückgehen. Auf Null bekommst Du sie auch durch Portverlegung nicht, und mehr Sicherheit bringt die Portverlegung auch nicht. Aber wer kleine Logfiles liebt sollte den Port verlegen.

kann ich noch etwas machen?

/etc/ini!t.d/sshd stop oder gleich shut!down -h now lösen Dein Problem zuverlässig und dauerhaft.

(mit ! entstellt bevor es jemand unüberlegt abtippt).

 

[holeshoot]

Hallo,

/etc/ini!t.d/sshd stop oder gleich shut!down -h now lösen Dein Problem zuverlässig und dauerhaft.

(mit ! entstellt bevor es jemand unüberlegt abtippt).

das is ja gemein .

Aber habt ja recht bis heute is nichts passiert *g*.

Hoffe nur diejenigen langweilen sich bald und lassen es entlich mal sein.

LG
Björn

 

[charli]

Hallo,

sorry, eine echte Lösung gibt es nicht (außer SSH-Logging ganz deaktivieren, das würde ich aber keinesfalls machen).

Hoffe nur diejenigen langweilen sich bald und lassen es entlich mal sein.

Dann kommen die nächsten. Nur ein Server der nicht öffentlich erreichbar ist bekommt keinen Hackbesuch. Ist leider so. Man gewöhnt sich dran.

 

[marneus]

Es gibt durchaus noch mehr Möglichkeiten.

a) DenyHosts / Fail2Ban (wie bereits erwähnt)*
b) Login nur via KeyAuth*
c) Root Login verbieten*
d) Port verlegen*
e) Login nur aus gewissen Subnetzen / VPN
f) Start / Stop des SSHD via Web bei Bedarf
g) Portknocking
h) ...

Die Liste ist gewiss nicht vollständig. Den SSHD runterzufahren halte ich aber für bescheuert. Mit fail2ban minimierst Du die Anzahl der Loginversuche auf ein von Dir definiertes Minimum. Bei KeyAuth werden die Versuche sofort abgewiesen.

Führe doch einfach mal alle mit Stern markierten Vorschläge aus, dann hast Du die Sicherheit des SSH-Logins schon drastisch gesteigert. Die meisten Systeme werden auch nicht mittels SSH-Bruteforce kompromitiert, sondern über Schwachstellen eingesetzter Software.

--marneus