Auto SSH Login Blocker

[garfield]

hmm, mit der einstellung solltest du eventuell mal die tätigkeit als hoster (?)
überdenken. außerdem kannst du nicht alles über yast aktualisieren. z.b. confixx

was bekommst du denn für fehlermeldungen? da fehlen dir wahrscheinlich einfach
ein paar bibliotheken. die kann man schnell nachinstallieren.

Nee ich hoste nur meinen eigenen Kram, da ist sonst niemand drauf.
80GB Platz von dem ich nur 800MB brauche, zur Zeit.
Confixx habe ich nicht, Plesk 7.5.4 kann ich bequem über die Plesk Windowsoberfläche aktualisieren.
Somit kein wirkliches Problem. Ohne Plesk hätte ich den server nicht gemietet.
Habe mich ja vorher informiert, darum auch Suse wegen Yast, das kannte ich schon.

 

[djrick]

Mhm, aus eigener Erfahrung hier im Forum kann ich sagen, wenn man einem NICHT vorwerfen kann sich nicht informiert zu haben, dann ist es Garfield.

 

[flyingoffice]

So, jetzt habe ich das Script auch mal bei mir gestartet. Aber es scheint nicht so wie vorgesehen zu arbeiten.

/tmp/.iplock.log

Sat May  6 23:25:21 2006 BLOCK   66.70.215.20

/var/log/security

May  6 23:25:43 h****** sshd[31681]: Invalid user elvis from 66.70.215.20
May  6 23:25:44 h****** sshd[31685]: Invalid user elvis from 66.70.215.20
May  6 23:25:45 h****** sshd[31689]: Invalid user elvis from 66.70.215.20
May  6 23:25:47 h****** sshd[31694]: Invalid user elvis from 66.70.215.20
May  6 23:25:49 h****** sshd[31699]: Invalid user elvis from 66.70.215.20
May  6 23:25:51 h****** sshd[31703]: Invalid user eric from 66.70.215.20
May  6 23:25:51 h****** sshd[31709]: Invalid user eric from 66.70.215.20
May  6 23:25:53 h****** sshd[31713]: Invalid user eric from 66.70.215.20
May  6 23:25:54 h****** sshd[31717]: Invalid user eric from 66.70.215.20

Eigentlich hätte doch ab 23:25:21 nichts mehr von der IP 66.70.215.20 in /var/log/security auftauchen dürfen. Nochmal einen Blick in den Qellcode geworfen und den iptabes Befehl auf der Console von Hand ausgeführt.

h******:/ # iptables -t nat -I PREROUTING -p tcp -s 66.70.215.20 --dport 22 -j DNAT --to :2222
Kernel requires old modprobe, but couldn't run /sbin/modprobe.old: No such file or directory
iptables v1.3.1: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Kann mir einer sagen, was hier klemmt?
Strato vServer mit Suse 9.3 Professional mit Plesk 7.5

Gruß flyingoffice

 

[garfield]

Diese Fehlermeldung hatte ich früher mal, bei Suse 8.1, entweder die Iptables auf den neuesten Stand bringen oder es fehlt bei dem von Dir verwendeten Kernel ein Modul.
Mit Insmod kann man glaube ich versuchen die Geschichte trotzdem zum Laufen zu bringen.
Wie das genau war weiß ich nicht mehr.
Wenn ein Modul fehlt, muß dann aber der Kernel neu kompiliert werden, da habe ich dann damals lieber drauf verzichtet.

 

[sebast]

Hier ist noch ein Tool, was sowas kann.
http://denyhosts.sourceforge.net/

 

[flyingoffice]

@ sebast

Danke für den Tip. Das Programm scheint bei mir zu funktionieren. Jetzt muß ich nur noch eine neue Angriffswelle abwarten...

Gruß flyingoffice

 

[flyingoffice]

So, Denyhosts läuft zu meiner vollen Zufriedenheit. Es lassen sich unendlich viele Dinge im Configfile einstellen. Ein IMHO wirklich gutes Tool.

Ein Einbruchsversuch wurde gestartet /var/log/security

May  7 16:56:33 h858817 sshd[24159]: Invalid user emily from 63.245.8.139
May  7 16:56:33 h858817 sshd[24159]: reverse mapping checking getaddrinfo for 63.245.8.139.cstmr.multidatahn.net failed - POSSIBLE BREAKIN ATTEMPT!
May  7 16:56:35 h858817 sshd[24163]: Invalid user emma from 63.245.8.139
May  7 16:56:35 h858817 sshd[24163]: reverse mapping checking getaddrinfo for 63.245.8.139.cstmr.multidatahn.net failed - POSSIBLE BREAKIN ATTEMPT!
May  7 16:56:37 h858817 sshd[24167]: Invalid user madison from 63.245.8.139
May  7 16:56:37 h858817 sshd[24167]: reverse mapping checking getaddrinfo for 63.245.8.139.cstmr.multidatahn.net failed - POSSIBLE BREAKIN ATTEMPT!
May  7 16:56:39 h858817 sshd[24171]: Invalid user hannah from 63.245.8.139
May  7 16:56:39 h858817 sshd[24171]: reverse mapping checking getaddrinfo for 63.245.8.139.cstmr.multidatahn.net failed - POSSIBLE BREAKIN ATTEMPT!
May  7 16:56:40 h858817 sshd[24176]: Invalid user hailey from 63.245.8.139
May  7 16:56:40 h858817 sshd[24176]: reverse mapping checking getaddrinfo for 63.245.8.139.cstmr.multidatahn.net failed - POSSIBLE BREAKIN ATTEMPT!

Denyhosts bemerkt dies /var/log/denyhosts

2006-05-07 16:56:39,577 - denyhosts   : INFO     new denied hosts: ['63.245.8.139']

und trägt die IP ein in /etc/host.deny

# DenyHosts: Sun May  7 16:56:39 2006 | sshd: 63.245.8.139
sshd: 63.245.8.139

Weitere Versuche werden abgewiesen /var/log/messages

May  7 16:56:41 h858817 sshd: refused connect from 63.245.8.139 (63.245.8.139)

Also nochmals besten Dank an sebast für den Tip

Gruß flyingoffice

 

[garfield]

Gibt es eigentlich noch andere Möglichkeiten SSH zu blocken?
IP Blocker läuft ja bei mir nicht, DenyHosts gibt es nicht für Suse, fail2ban auch nicht.
ICh würde gerne alles außer Deutschland, Schweiz und Österreich direkt abschmettern.
Also am besten nur ein Skript wo man nix installieren muß, welches jede IP die nicht aus den 3 oben genannten Ländern stammt blockiert.

 

[flyingoffice]

DenyHosts gibt es nicht für Suse

Ich habe Denyhosts auf Suse installiert. Einfach die aktuelle Version DenyHosts-2.4b.tar.gz nehmen und gemäß Readme installieren.

Gruß flyingoffice

 

[Briese]

Jo, Denyhosts läuft bei mir unter Suse 10

 

[flyingoffice]

@Briese

Mal rein aus Interesse. Nutzt Du die Synchronisation?

Gruß flyingoffice

 

[garfield]

Ich habe Denyhosts auf Suse installiert. Einfach die aktuelle Version DenyHosts-2.4b.tar.gz nehmen und gemäß Readme installieren.

Gruß flyingoffice

Wie üblich Fehlermeldung:
Traceback (most recent call last):
File "setup.py", line 4, in ?
from distutils.core import setup
Import Error: No Module named distutils.core

In Yast gibt es kein distutils.core, Python2.4 ist installiert.

Ich habe ja gesagt, bei mir funktioniert nichts was nicht mit Yast zu erledigen ist.
Da ich kaum englisch kann, sagt mir das alles auch nix.
Aber es bestätigt mich, nie nichts zu installieren. Höchstens vielleicht eine automatische Neuinstallation des Servers und danach nie wieder anfassen.

 

[flyingoffice]

In Yast gibt es kein distutils.core, Python2.4 ist installiert.

Dann sind die IMHO bei deinem Python nicht mit installiert. Bei meiner Strato / Suse 9.3 finde ich sie in /usr/lib/python2.4/distutils/
Schau mal in YAST ob bei Dir auch python-devel 2.4 istalliert ist.

Gruß flyingoffice

 

[tty0]

Für die bei denen die "tollen" Tools nicht laufen:

http://www.hexten.net/pam_abl/

Ein Modul für PAM...

 

[garfield]

Dann sind die IMHO bei deinem Python nicht mit installiert. Bei meiner Strato / Suse 9.3 finde ich sie in /usr/lib/python2.4/distutils/
Schau mal in YAST ob bei Dir auch python-devel 2.4 istalliert ist.

Gruß flyingoffice

Besten Dank,
python-devel fehlte. Jetzt läuft es.
Gibt es denn was besonderes zu beachten, bei der config? Da mache ich mich erst heute abend dran.
Nicht das ich mich aussperre, wäre nicht das erstemal.

 

[flyingoffice]

Gibt es denn was besonderes zu beachten, bei der config? Da mache ich mich erst heute abend dran. Nicht das ich mich aussperre, wäre nicht das erstemal.

Solange Du dich nicht selbst versucht anzugreifen eigentlich nicht. Ich habe fast alles in der Config auf Default gelassen, bis auf die nötigen Anpassungen (zb. Pfade zu den Logfiles). Dann händisch über die Console als Daemon gestartet

daemon-control start

und auf einen Angriff gewartet. Als ich dann sicher war, da es wie gewünscht arbeitet (siehe Logauszüge weiter oben), habe ich es fest eingebaut

cd /etc/init.d
ln -s /usr/share/denyhosts/daemon-control denyhosts
chkconfig --add denyhosts

Ich habe ja gesagt, bei mir funktioniert nichts was nicht mit Yast zu erledigen ist.

Das dürfte dann wohl endgültig nicht mehr stimmen

Gruß flyingoffice

 

[garfield]

daemon-control start, command not found.
Was ist jetzt wieder falsch?

 

[Huschi]

daemon-control start, command not found.

Wenn Du der Anleitung von flyingoffice gefolgt bist muß es so lauten:
/etc/init.d/denyhosts start

huschi.

 

[garfield]

Wenn Du der Anleitung von flyingoffice gefolgt bist muß es so lauten:
/etc/init.d/denyhosts start

huschi.

Hm, dann kommt,
/etc/init.d/denyhostsatei oder Verzeichnis nicht gefunden
Ich habe das ja auch noch nicht fest eingebunden, sondern wollte wie flyingoffice meinte, erstmal von Hand starten.
In /etc/init.d/ gibt es auch kein denyhost. Das ist in /usr/share jetzt irgendwie.
Ist das falsch?

 

[flyingoffice]

Ich habe das ja auch noch nicht fest eingebunden, sondern wollte wie flyingoffice meinte, erstmal von Hand starten.
In /etc/init.d/ gibt es auch kein denyhost. Das ist in /usr/share jetzt irgendwie. Ist das falsch?

Nein ist richtig.

/usr/share/denyhosts/daemon-control start

sollte erfolgreich sein, wenn Du nach Anleitung daemon-control-dist umkopiert hast. Wenn alles erfolgreich läuft

/usr/share/denyhosts/daemon-control stop

und nach obiger Anleitung nach /etc/init.d installieren und dann starten

/etc/init.d/denyhosts start

gruß flyingoffice