brute force attack - Was kann man tun?

docbrown76

Registered User
Hallo Zusammen,

vorab,... sorry, mag das falsche Forum sein, bitte ggf. umziehen :-)

Zu meinem Problem.

Wir verzeichnen heute einen massiven Angriff auf unseren Server:

sshd[1617]: error: PAM: Authentication failure for root from <host>

Leider sind das Anfragen nicht nur von einer Adresse, sondern von immer wieder unterschiedlichen IP-Adresse/Hosts.

Könnt Ihr das auf Eurer Seite auch bestätigen/verzeichnen?

Was kann man hier tun? Im Zweifel ist klar.. kann ich den Abuse-Kontakt der jeweiligen Adresse anschreiben. Da es aber so viele unterschiedliche sind,...?
Etwas aufwändig.

Hat jemand einen Tipp?

Gruss Doc
 
Hallo docbrown

Das ist relativ normal. So ziemlich jeder Server hat irgendwann dieses Problem, das er von extern mit einer BruteForce Attacke beglückt wird. die einfachste Lösung wäre, den SSH Port zu verlegen. Zum Beispiel auf Port 2222. Das geht mit relativ wenig Aufwand über die Konfigurationsdatei des SSHD. Ob das nun prinzipiell eine gute Lösung ist, weiß ich nicht.

Das eigentlich Problem, gelangweilte Skriptkiddies, oder auch richtige Cracker, ist damit natürlich nicht angegangen. ;) eine Abuse Meldung wäre meiner Meinung nach besser, zumal die Systeme, von denen diese Attacken ausgehen, in den meisten Fällen von dritten missbraucht werden und die eigentlichen Eigentümer das wahrscheinlich noch nicht gemerkt haben. Die Abuse Mail würde dem Informationsdefizit seitens des Servereigentümers entgegenwirken. :D
 
Du schreibst jetzt nicht, was du für eine Distribution hast. Falls Debian, so wäre es - unter der Voraussetzung, dass dein Server kein vServer oder aber einer ist, der iptables unterstützt - recht einfach, fail2ban zu installieren. Das Programm bannt die IPs nach festgelegter Anzahl gescheiterter Verbindungsversuche - u.a. auch per SSH.

# apt-get install fail2ban (wird recht einsatzbereit vom Paketmanager installiert - Konfiguration unter /etc/fail2ban/jail.conf)

Für andere Distributionen siehe auf dem Wiki der Entwickler: Main Page - Fail2ban
 
Hallo!

Jo, voll vergessen.

openSUSE 10.1 Professional inkl. Plesk 8.2.1

:-)

Aber danke mal für den Tipp, ich schaue mir die Seite mal an.

@Mario: Da hast Du recht... diese Angriffe haben wir oft. Aber nicht in dieser Form. Heute denke ich das es sich hier um eine Angriff aus einem Bot-Netz handelt.

Das mit dem Port umlegen... naja.. kurzfristig ja... aber sonst... wir ja schnell wieder bekannt sein. Aber wir überlegen uns das mal. Vielen Dank
 
Das mit dem Port umlegen... naja.. kurzfristig ja... aber sonst... wir ja schnell wieder bekannt sein.

Bringt langfristig mehr als man denkt, weil die meisten sich nicht die Mühe machen von jeder potentiellen IP die ganze PortRange durchzuscannen.

Die meisten setzen ja wie schon erwähnt, irgendwelche Kiddieskripte ein.

Fail2ban ist aber mit Sicherheit die sauberere Lösung.
 
Was kann man hier tun?
Die Antwort ist so kurz wie einfach: Keine Passworter zulassen und nur SSH-Keys erlauben.
Wenn das nicht geht: Die Komplaxität der benutzen Passwörter so hoch wählen, dass ein Bruteforce in 200 Jahren noch nicht beim Passwort angelangt ist.
 
Naja, der Anteil der über SSH gehackten Server ist wohl eh extrem gering. Mit nem entsprechenden Passwort kann man sich dann von SSH abwenden und vernünftig auf PHP aufpassen ;-)
 
Ich denke gerade darüber nach, ob man bei einer Bruteforceattacke auf SSH nicht einfach mal SSH für ein paar Stunden aus macht :-)

Grüße
Sinepp
 
shutdown -h now

Das ist der beste Schutz ;)
Aber ssh abschalten hat natuerlich auch was fuer sich :D.
 
Guter Ansatz. Indem du wartest, bis der Cronjob um 03:14 Uhr, den du davor eingerichtet hast, SSH wieder startet :D
 
Wenn Du die Downtimes verträgst, kanns Du ja den Server über die Rettungskonsole administrieren :p

Ne, aber das mit KeyAuth wäre der richtige Weg, und Du hast sicher Deine Ruhe damit!
 
Jepp. Immerhin ist SSH kein 24/7 Service sondern wird nur genutzt, wenn Du auch tatsächlich etwas per SSH tun willst. Ein cronjob könnte da Abhilfe schaffen - vor allem dann wenn der BruteForce einen Portwechsel mitmachen würde (habe ich noch nicht von gehört...)

Grüße
Sinepp
 
Das mit dem Cronjob wäre aber so eine Sache. Wenn auf dem Server mal mächtig was schief läuft und ein händisches eingreifen notwendig ist und gerade SSHD Schlafenszeit ist, dann würde ich das als eine recht angespannte Situation betrachten. ;)
 
War auch betroffen

Hallo,
hatte heute das gleiche problem, nutze Suse10.x Plesk 8.2 mit fail2ban.
Fail2ban ist schon klasse, habe aber heute per iptables ssh nur noch für den IP-Range meines Arbeitgebers, und meines Providers erlaubt. Das kann ich nur weiterempfehlen.

Gruß
Harpi
 
Massive SSH-Attacken seit gestern

Ich kann "denyhosts" schwer empfehlen. Nach ein paar Login-Fehlversuchen
landet die betreffende IP in der /etc/hosts.deny. Das funktioniert hier super. :D
Vor allem, da mein Server seit zwei Tagen unter massiven Attacken zu leiden hat.
Da kommen gerade zwischen 2 und 12 Benachrichtigungsmails von denyhosts pro Stunde.....
Port verlegen kommt leider nicht in Frage, da ich regelmässig hinter Firewalls
arbeite, die keine Verbindungen auf nicht-Standardports erlauben.
 
Back
Top