SSH und Bruteforce Attacken

  • Thread starter Thread starter Xenari
  • Start date Start date
X

Xenari

Guest
Moinsen,

beim durchschauen der Log Dateien, fiel mir auf, dass desöfteren Brutforce Attacken auf den SSH gestartet werden.
Kann mir jmd Techniken empfehlen um dies einzudämmen?

Grüße Xenari :)
 
Hallo Xenari :)

Da gibt es einen äusserst effektiven Weg.

Du verlegst einfach den SSH Port.

Da die meisten "Attacken" nur von Scripten erledigt werden und diese Scripte nicht erst nach dem richtigen Port suchen, sondern einfach auf Port 22 rumhacken, hast du damit das größte (im Bezug auf die Masse) behoben.
 
Hallo Xenari,

heute ganz aktuell:

verschiedene User versuchen sich auf vServer anzumelden

Hallo zusammen, leider versuchen sich laufend User auf meinem S4Y vServer anzumelden (Suse 10.1). Kann ich eine IP nach 10 vergeblichen Versuchen für z.B. 30 Minuten sperren? Die Versuche sehen dann so aus: ... Sep 9 14:18:46 vs1231 sshd[7348]: Invalid user test from 61.218.135.189 Sep...
serversupportforum.de serversupportforum.de

Also:
1) Port verlegen
2) evtl. DenyHosts

Dann sollte dein Log leer bleiben und du Freude haben ;)

Lieben Gruß
Free
 
Danke für eure Antworten,
aber was zum Kuckkuck ist ein Portknocker?

Grüße
 
Xenari said:
Danke für eure Antworten,
aber was zum Kuckkuck ist ein Portknocker?
Click to expand...

Ein Dienst, der Anfragen auf mehrere Ports überwacht. Die Ports erscheinen nach aussen als geschlossen, bei einem Portscan sieht man beispielsweise nichts ungewöhnliches. Wenn in der richtigen Reihenfolge Anfragen auf bestimmte Ports gemacht werden, öffnet der Portknocker den Zugriff für die IP auf die gewünschten Dienste. Die richtige Reihenfolge kennen natürlich nur die legitimen Benutzer des Dienstes. Ein Angreifer bekommt erst gar keinen Zugriff auf den Dienst, er kann also auch keine eventuell vorhandenen Sicherheitslücken ausnutzen.

Genauer ist Port Knocking auf Port knocking - Wikipedia, the free encyclopedia beschrieben.
 
Vielen Dank für die Antwort.

Klingt ja nach einem sehr interessanten Verfahren. Ich glaube das schaue ich mir bei Gelegenheit wirklich mal an.

Allerdings habe ich noch ein Problem. Ich habe mir gestern fail2ban mal gezogen. Nach dem Entpacken wollte ich wie in der Readme beschrieben die Installation ausführen. Diese wird aber abgebrochen. :mad:

Code: 
/fail2ban-0.6.1 # python setup.py install
Traceback (most recent call last):
  File "setup.py", line 29, in ?
    from distutils.core import setup
ImportError: No module named distutils.core
Zur Info ich habe einen kleinen vServer bei s4y mit Suse 9.3

Grüße Xenari
 
You must log in or register to reply here.
Back
Top