SSH Brute Force Angriffe von anderem vServer aus
- Thread starter Eddi
- Start date
S
server4downs
Guest
Root sperren und nur noch per su - rein.Eddi said:
Vielleicht noch den Port ändern.
hm... Dann noch GraceTime runterstellen auf vll 10 Sekunden.
Und Protocol2 verwenden.
ElNino
Registered User
Hi Eddi,
mein Beileid, meiner Kiste ergeht es nicht besser. Vielleicht kann man die entsprechenden Threads konzentrieren.
serversupportforum.de
Portknocking wäre auch eine Möglichkeit, c't 14/2004, S. 206
Hat das bereits jemand realisiert?
Gruß Tom
mein Beileid, meiner Kiste ergeht es nicht besser. Vielleicht kann man die entsprechenden Threads konzentrieren.
bruteforce von vs161020...
Hallo Forum, wie soll(te) ich reagieren? Habe bereits den Webmaster der ersten IP kontaktiert, für die andere IP verucht einen MX-Record zu bekommen, um den Zuständigen zu kontaktieren- leider negativ. Ist hier eine abuse@vserver.de angebracht? Vielleicht kann jemand mit "erweiterten"...
serversupportforum.de
Portknocking wäre auch eine Möglichkeit, c't 14/2004, S. 206
Hat das bereits jemand realisiert?
Gruß Tom
Cyberchriss
Registered User
Es gibt zahlreiche Methoden den SSH-Login sicherer zu machen:
- non root logins (Arbeiten nur unter su)
- Benutzung von authorized_keys + passwort
- man kann den Login auf einen bestimmten Benutzer beschränken sofern nicht mehrere Benutzer auf das System zugreifen müssen
- Ändern des Standardports (lässt Portscans auf Port 22 ins Leere laufen)
- man koennte die Logins auf den IP-Bereiech beschränken in dem man sich befindet oder über einen Proxy mit fester ip connecten.
- den timeout zw. fehlerhaften Loginversuchen aktivieren
Das ganze bringt natürlich nur was, wenn keine weiteren insecure Serverdienste laufen, die ein Angreifer nutzen könnte.
- non root logins (Arbeiten nur unter su)
- Benutzung von authorized_keys + passwort
- man kann den Login auf einen bestimmten Benutzer beschränken sofern nicht mehrere Benutzer auf das System zugreifen müssen
- Ändern des Standardports (lässt Portscans auf Port 22 ins Leere laufen)
- man koennte die Logins auf den IP-Bereiech beschränken in dem man sich befindet oder über einen Proxy mit fester ip connecten.
- den timeout zw. fehlerhaften Loginversuchen aktivieren
Das ganze bringt natürlich nur was, wenn keine weiteren insecure Serverdienste laufen, die ein Angreifer nutzen könnte.
Eddi said:
Wie bereits geschrieben:
Root-Login deaktivieren und per su auf den Root-User wechseln.
Standart-Port ändern.
Desweiteren würde ich evtl. versuchen herauszufinden, wer deinen Login knacken will. Du sagst, dass dies von einem anderen vServer aus geschieht.
Bist du bei S4Y? Ich hatte nämlich neulichst auch einige Login-Versuche von einem anderen vServer. Mittlerweile hat's aber aufgehört. Naja... auf jeden Fall ist es meiner Meinung nach nicht ausgeschlossen, dass der Besitzer des vServers der bei Dir rein will, keine Ahnung davon hat. Evtl. ist sein Server kompromitiert und er/sie weiß gar nichts davon?! Das war zumindest mein erster Gedanke, als ich die Login-Versuche in meinen Logs gesehen habe.
gruß,
Patrick
Danke für eure Vorschläge. Das Meiste habe ich realisiert, root sperren, port, usw. Einen festen IP-Range vorzugeben traue ich mich nicht, da ich bei der Inet Einwahl immer neue Adressen bekomme. Evt. bin ich dann plötzlich selber ausgesperrt.
Wie realisiert man "den timeout zw. fehlerhaften Loginversuchen aktivieren"? Das scheint mir sehr sinnvoll.
@gizmo21
Ja ich bin bei s4y. Das die Angriffe von einem anderen vserver kommen sehe ich am Reverse-Lookup (xxx.vserver.de)
@ElNino
Ich hatte den anderen Thread übersehen, sorry. Die Accounts die probiert werden sind bei mir zu 95% die gleichen.
Ich hoffe, dass die Massnahmen greifen. Wenn nicht, werde ich abuse@s4y einschalten. Ich zögere im Augenblick noch auch beim Nennen der angreifenden Adresse, da ich auch denke, dass der Arme einen Hack oä. auf seiner Kiste hat. Ich werde mal die Idee aufgreifen und versuche den anderen Admin über per EMail über den MX Record der Domäne zu erreichen.
Edit
Ich habe gerade die IPs verglichen. Bei mir war es die gleiche VE wie bei Dir. Von dort ist aber seit gestern Ruhe.
/Edit
Wie realisiert man "den timeout zw. fehlerhaften Loginversuchen aktivieren"? Das scheint mir sehr sinnvoll.
@gizmo21
Ja ich bin bei s4y. Das die Angriffe von einem anderen vserver kommen sehe ich am Reverse-Lookup (xxx.vserver.de)
@ElNino
Ich hatte den anderen Thread übersehen, sorry. Die Accounts die probiert werden sind bei mir zu 95% die gleichen.
Ich hoffe, dass die Massnahmen greifen. Wenn nicht, werde ich abuse@s4y einschalten. Ich zögere im Augenblick noch auch beim Nennen der angreifenden Adresse, da ich auch denke, dass der Arme einen Hack oä. auf seiner Kiste hat. Ich werde mal die Idee aufgreifen und versuche den anderen Admin über per EMail über den MX Record der Domäne zu erreichen.
Edit
Ich habe gerade die IPs verglichen. Bei mir war es die gleiche VE wie bei Dir. Von dort ist aber seit gestern Ruhe.
/Edit
Last edited by a moderator:
Cyberchriss
Registered User
@Eddi
informiere bitte unbedingt die für Dich zuständige abuse-Adresse.
Es ist absolut notwendig, dass der Admin des "gehackten" Servers informiert wird, damit er Strafanzeige erstatten und das System sichern kann.
Du tust ihm damit einen Gefallen!
Ich halte von der Idee des SSH-Wartungsfensters nicht unbedingt viel, es sei denn auf deinem rooti würden sonst keinerlei andere Dienste laufen - dann würde ich mich allerdings fragen, warum du einen rootserver brauchst.
informiere bitte unbedingt die für Dich zuständige abuse-Adresse.
Es ist absolut notwendig, dass der Admin des "gehackten" Servers informiert wird, damit er Strafanzeige erstatten und das System sichern kann.
Du tust ihm damit einen Gefallen!
Ich halte von der Idee des SSH-Wartungsfensters nicht unbedingt viel, es sei denn auf deinem rooti würden sonst keinerlei andere Dienste laufen - dann würde ich mich allerdings fragen, warum du einen rootserver brauchst.
@Cyberchriss
Seit dem Softwareupdate durch s4y sind die Angriffe durch die andere VE abgeklungen. Es gibt aber genügend andere BF Angriffe. Ich habe täglich zwischen 100 und 200 Passwort Versuche, z.B. gestern:
> sshd:
> Invalid Users:
> Unknown Account: 27 Time(s)
> Authentication Failures:
> root (209.200.7.xx ): 9 Time(s)
> nobody (203.69.197.xx ): 1 Time(s)
> root (air244.startdedicated.cxx ): 99 Time(s)
> root (202.110.184.1xx ): 2 Time(s)
> unknown (air244.startdedicated.cxx ): 9 Time(s)
> unknown (209.200.7.xx ): 18 Time(s)
>
Ich habe erst einmal genug davon. Generell steht das ssh2 Verfahren kurz davor geknackt zu werden. MD5, SHA1, usw. sind schon geknackt und weitere Hacks sind abzusehen.
Seit dem Softwareupdate durch s4y sind die Angriffe durch die andere VE abgeklungen. Es gibt aber genügend andere BF Angriffe. Ich habe täglich zwischen 100 und 200 Passwort Versuche, z.B. gestern:
> sshd:
> Invalid Users:
> Unknown Account: 27 Time(s)
> Authentication Failures:
> root (209.200.7.xx ): 9 Time(s)
> nobody (203.69.197.xx ): 1 Time(s)
> root (air244.startdedicated.cxx ): 99 Time(s)
> root (202.110.184.1xx ): 2 Time(s)
> unknown (air244.startdedicated.cxx ): 9 Time(s)
> unknown (209.200.7.xx ): 18 Time(s)
>
Ich habe erst einmal genug davon. Generell steht das ssh2 Verfahren kurz davor geknackt zu werden. MD5, SHA1, usw. sind schon geknackt und weitere Hacks sind abzusehen.
brummfondel
Registered User
Zweckmäßig auf jeden Fall:
Eigentümer der IP ermitteln per Ripe und dann denen eine Mail schreiben (englisch). Sollte keine Reaktion kommen den Ton etwas schärfer wählen.
Eigentümer der IP ermitteln per Ripe und dann denen eine Mail schreiben (englisch). Sollte keine Reaktion kommen den Ton etwas schärfer wählen.
ssh per Public/Private key sichern
Hi Gemeinde,
sinnvoll ist bei arbeiten unter root mittels ssh das verwenden
von Public/Private Key paaren. Man hinterlegt/generiert auf dem
vserver dazu ein Schlüsselpaar. (unter /root/.ssh )
diesen kann man dann verwenden um auf anderer server zuzugreifen, wenn
dort auf den Maschinen ssh (möglichst Version 2) zum Einsatz kommt.
Wer von einer Windows maschine auf seinen verserver zugreifen möchte, kann dies mit Hilfe von Putty realisieren. Putty kennt auch einen Schlüsselgenerator
(puttygen.exe) mittels diesem kann man nun sein Paar erzeugen und muss dann
den betreffenden Public Key mit scp / Winscp auf seinen vserver in die Datei (/root/.ssh/authorized_keys) kopieren.
Danach sollte man testen ob der Zugriff funktioniert !! bevor man dann
dem sshd über die Konfig-Datei /etc/ssh/sshd_config
mittels :
PermitRootLogin without-password
das Login nur noch mit PublicKeys gestattet.
eine Anleitung findet man auch hier :
http://www.tu-dresden.de/urz/security/ssh-keys.html
oder hier:
http://www.pc-special.net/?idart=543
Wer nicht klar kommt noch mal hier posten. Dann raff ich mich mal selbst zu
einer HowTo auf
Gruss
Klaus
Hi Gemeinde,
sinnvoll ist bei arbeiten unter root mittels ssh das verwenden
von Public/Private Key paaren. Man hinterlegt/generiert auf dem
vserver dazu ein Schlüsselpaar. (unter /root/.ssh )
diesen kann man dann verwenden um auf anderer server zuzugreifen, wenn
dort auf den Maschinen ssh (möglichst Version 2) zum Einsatz kommt.
Wer von einer Windows maschine auf seinen verserver zugreifen möchte, kann dies mit Hilfe von Putty realisieren. Putty kennt auch einen Schlüsselgenerator
(puttygen.exe) mittels diesem kann man nun sein Paar erzeugen und muss dann
den betreffenden Public Key mit scp / Winscp auf seinen vserver in die Datei (/root/.ssh/authorized_keys) kopieren.
Danach sollte man testen ob der Zugriff funktioniert !! bevor man dann
dem sshd über die Konfig-Datei /etc/ssh/sshd_config
mittels :
PermitRootLogin without-password
das Login nur noch mit PublicKeys gestattet.
eine Anleitung findet man auch hier :
http://www.tu-dresden.de/urz/security/ssh-keys.html
oder hier:
http://www.pc-special.net/?idart=543
Wer nicht klar kommt noch mal hier posten. Dann raff ich mich mal selbst zu
einer HowTo auf
Gruss
Klaus
brummfondel
Registered User
Ist ja alles schön und gut, daß jetzt mehrfach empfohlen wird, daß Root-Zugang per SSH gesperrt werden soll - zumal selbst mit Key nicht nötig wäre solange es eine normale Kennung gibt, existiert immernoch su -.
Wenn ich die Logfiles meines sshd ansehe, dann steht da nirgendwo ein Versuch auf einen Root-Login drin, sondern alle möglichen anderen Kennungen die möglicherweise ohne Passwort sind. Ziel dürfte dann sein, im System einen Root-Exploit auszunutzen. Also ist das mit ssh-Key und so nur eine trügerische Sicherheit.
Wenn ich die Logfiles meines sshd ansehe, dann steht da nirgendwo ein Versuch auf einen Root-Login drin, sondern alle möglichen anderen Kennungen die möglicherweise ohne Passwort sind. Ziel dürfte dann sein, im System einen Root-Exploit auszunutzen. Also ist das mit ssh-Key und so nur eine trügerische Sicherheit.
Naja, als nichtpriviligierter User ein rootkit installieren, dürfte schon etwas
schwierig sein. Und die wörterbuchatacken auf su -
dürften (bei einem halbwegs vernünftigen passwort) auch nicht sofort von erfolg gekrönt sein.
Mein logwatch schickt mir jeden Tag meine Morgenlektüre. Meist ärgere ich mich da nur über die blöden spammer und muss meine /etc/mail/access nachbessern.
gruss
Klaus
schwierig sein. Und die wörterbuchatacken auf su -
dürften (bei einem halbwegs vernünftigen passwort) auch nicht sofort von erfolg gekrönt sein.
Mein logwatch schickt mir jeden Tag meine Morgenlektüre. Meist ärgere ich mich da nur über die blöden spammer und muss meine /etc/mail/access nachbessern.
glaub ich nicht.brummfondel said:
gruss
Klaus
brummfondel
Registered User
gnugu13 said:
Du weißt aber schon, was ein Root-Exploit ist und was ein Root-Kit macht?
Genau das meinte ich mit trügerischer Sicherheit.
Deshalb wiederhole ich das einfach nochmal: sieh dir mal die ssh-Logfiles auf fehlerhafte Login-Versuche an, du wirst da keinen Root-Login-Versuch finden bzw. massenhaft andere. Wenn damit nichts passieren kann, warum sollte das gemacht werden? Lies dir nur mal diese Meldung durch http://www.heise.de/security/news/meldung/61569. Und das ist nicht der einzige Weg, um als normaler User Root-Rechte zu bekommen, nur der letzte.