Vserver angriff.

R

rs3hc

Registered User
Hi!
ich habe ein problem mit meinem vserver von S4Y.

Ich glaube mein server steht seit tagen unter beschuss.
Leider kann ich nicht erkennen ob der angreifer erfolg hatte.
Konnte bis jetzt noch keine schädigung feststellen.

Hier mal ein Ausschnitt aus "/var/log/secure".
Code: 
Jan 27 20:08:42 vsXXXXXX sshd[1633]: Failed password for illegal user drums from 217.199.188.1 port 58179 ssh2
Jan 27 20:08:42 vsXXXXXX xinetd[3193]: START: ssh pid=1675 from=217.199.188.1
Jan 27 20:08:42 vsXXXXXX sshd[1675]: Illegal user dustin from 217.199.188.1
Jan 27 20:08:45 vsXXXXXX sshd[1675]: Failed password for illegal user dustin from 217.199.188.1 port 59208 ssh2
Jan 27 20:08:45 vsXXXXXX xinetd[3193]: START: ssh pid=1686 from=217.199.188.1
Jan 27 20:08:45 vsXXXXXX sshd[1686]: Illegal user dustin from 217.199.188.1
Jan 27 20:08:48 vsXXXXXX sshd[1686]: Failed password for illegal user dustin from 217.199.188.1 port 60772 ssh2
Jan 27 20:08:48 vsXXXXXX xinetd[3193]: START: ssh pid=1692 from=217.199.188.1
Jan 27 20:08:48 vsXXXXXX sshd[1692]: Illegal user dwight from 217.199.188.1
Jan 27 20:08:50 vsXXXXXX sshd[1692]: Failed password for illegal user dwight from 217.199.188.1 port 33600 ssh2
Jan 27 20:08:50 vsXXXXXX xinetd[3193]: START: ssh pid=1702 from=217.199.188.1
Jan 27 20:08:51 vsXXXXXX sshd[1702]: Illegal user eagles from 217.199.188.1
Jan 27 20:08:53 vsXXXXXX sshd[1702]: Failed password for illegal user eagles from 217.199.188.1 port 34811 ssh2
Jan 27 20:08:53 vsXXXXXX xinetd[3193]: START: ssh pid=1708 from=217.199.188.1
Jan 27 20:08:53 vsXXXXXX sshd[1708]: Illegal user eatme from 217.199.188.1
Jan 27 20:08:56 vsXXXXXX sshd[1708]: Failed password for illegal user eatme from 217.199.188.1 port 36065 ssh2
Jan 27 20:09:05 vsXXXXXX xinetd[3193]: START: ssh pid=3548 from=217.199.188.1
Jan 27 20:09:05 vsXXXXXX sshd[3548]: Illegal user edward from 217.199.188.1
Jan 27 20:09:08 vsXXXXXX sshd[3548]: Failed password for illegal user edward from 217.199.188.1 port 37435 ssh2

Es wird jeden tag von einer neuen IP versucht.
Gibts da nix um sich abzuschotten?
Z.B. ein script das bei 2x falschen anmeldung an der ssh die ip für 24h sperrt??

Wenn mir jemand helfen kann/will bitte melden.

Danke für jeden Tip
 
Hallo,

die vermutlich einfachste aber doch effektivste Methode dagegen ist das verlegen des SSH Ports.

Das was bei dir passiert, passiert Tag täglich auf vielen Servern die den SSH Port auf 22 haben.

Script-Kiddies eben die versuchen in deinen Server einzudringen.

Edit :

Willkommen im Forum

Und zu der Script Anfrage von dir nenne ich dir mal zwei Stichworte : ail2ban und portsentry.
Auch seh Schick, aber umständlicher ist Port-Knocking.
 
Danke erst mal für eure Tips

V40, darf ich dich bitten näher zu beschreiben wie ich den ssh port verlegen könnte?

ich nutze "RedHat Linux 9 Server Edition" und "Confixx Premium Edition 1.0.4"

mfg rs3hc


//////
habe mir jetzt die "fail2ban-0.6.1-2jik.src.rpm" für Redhat/fedora gezogen.
was muss ich bei der installation beachten, oder wie sollte ich vorgehen.
 
Last edited by a moderator:
Hallo,

folgende Threads sind für dich von Interesse :

SSH auf anderen Port legen

Hallo ich habe das Login von root nur mit Schlüsseln erlaubt. Ich denke, es ist trotzdem sinnvoll, SSH auf einen anderen Port zu legen, oder? (wegen unnötiger Belastung?) Wenn das sinnvoll ist, wie geht das? Viele Grüße, Volker
serversupportforum.de serversupportforum.de

ssh Port verlegen

ich muß mein ssh Port verlegen... meine log wächst in ein paar wenigen Tagen meist für 8-10 mb ... wg. hacking... aber das hab ich schon in einen anderen Thread gepostet und wurde ausreichend geklärt.. dort wurde mir empfohlen den ssh port zu verlegen...
serversupportforum.de serversupportforum.de

Oder du suchst hier im Forum einfach mal nach : ssh root port

Nicht zu vergessen, Huschis Seite : huschi.net - SSH-BruteForce-Attacken eindämmen

Denn wenn du schon dabei bist, dann verbiete auch gleich die Möglichkeit sich als root per SSH einzuloggen.
;)
 
Last edited by a moderator:
Noch ein Tipp : DenyHosts

Hier wird beschrieben, wie der SSH-Zugang mit dem Tool DenyHosts () abgesichert wird.



DenyHosts

Dieses Tool ist ein Zusatzprogramm, welches die Logfiles der SSH-Programme überwacht und IPs, die sich mehr als 5 mal (frei wählbar) falsch angemeldet haben, in die /etc/hosts.deny eintragen. IPs, die in dieser Datei stehen, werden dann entweder für einen bestimmten Service (ssh) oder für den gesamten Zugang geblockt.



Installation

Voraussetzung ist, dass python auf dem Server installiert ist.
python-devel Paket (installieren)


Laden Sie sich das Programm herunter und entpacken es. Danach wechseln Sie in das entpackte Verzeichnis und installieren das Programm mit dem Befehl:

wget http://mesh.dl.sourceforge.net/sourcefor...2.5.tar.gz
tar xvfz DenyHosts-2.5.tar.gz
cd DenyHosts-2.5
python setup.py install


Code: [Ausblenden]
1. python setup.py install


Dieses Tool nimmt sämtliche Kopiervorgänge vor.



Konfiguration

Wechseln Sie in das Verzeichnis /usr/share/denyhosts



Hier liegt die Konfigurationsdatei sowie das Programm daemon-control, der das Tool startet, beendet oder restartet.



Bearbeiten Sie nun die Datei denyhosts.cfg-dist:

Passen Sie mindestens folgende Einträge auf Ihr System an:


Code: [Ausblenden]
1. SECURE_LOG = /var/log/messages
2. HOSTS_DENY = /etc/hosts.deny




Falls Sie über alle Block-Vorgänge per email unterrichtet werden möchten, gibt es den Bereich ADMIN_EMAIL. Hier können Sie Ihre email-Adresse hinterlegen, dann werden Sie bei jedem Eintrag in die hosts.deny darüber unterrichtet. Lassen Sie dieses Feld leer, bekommen Sie auch keine email.



Danach benennen Sie die Datei um:


Code: [Ausblenden]
1. mv denyhosts.cfg-dist denyhosts.cfg




Nun muss das Dämon-Kontrollprogramm (daemon-control-dist) angepasst werden.

Falls die Installation per setup.py vorgenommen wurde, sollten die Einträge stimmen.

Prüfen Sie diese 3 Zeilen zu beginn des Programmes:


Code: [Ausblenden]
1. DENYHOSTS_BIN = "/var/bin/denyhosts.py"
2. DENYHOSTS_LOCK = "/var/lock/subsys/denyhosts"
3. DENYHOSTS_CFG = "/usr/share/denyhosts/denyhosts.cfg"




Nun muss auch dieses Programm noch umbenannt werden:


Code: [Ausblenden]
1. mv daemon-control-dist daemon-control




Aktivieren

Starten Sie nun das Programm:


cd /usr/share/denyhosts/
./daemon-control start




Der erste Start nimmt je nach grösse Der ssh-Logdatei einige Zeit in Anspruch. Sie sollten aber nach einiger Zeit die Shell-Eingabeaufforderung wieder sehen.

DenyHosts loggt alle Aktivitäten in ein Logfile, normalerweise /var/log/denyhosts



Beim ersten Start wird die ssh-Logdatei vollständig analysiert und auch vergangene SSH-Attacken werden registriert und die IPs erkannt.

Nun können Sie in der DenyHost Logdatei, sowie in der Datei /etc/hosts.deny IPs sehen, die geblockt werden (sofern Ihr System schon SSH-Attacken hinter sich hat).
Click to expand...
http://denyhosts.sourceforge.net/index.html
 
Last edited by a moderator:
Super HowTo vielen Dank....

ich habe DenyHosts 2.6 genau so installiert wie es beschrieben wurde, hat Fehlerfrei geklappt, bis auf einzigen befehl
Code: 
./daemon-control start

die Konsole sagt dass er die files nicht lesen kann:
Code: 
Can't read: /var/log/secure
[Errno 2] No such file or directory: '/var/log/secure'
Error deleting DenyHosts lock file: /var/lock/subsys/denyhosts
[Errno 2] No such file or directory: '/var/lock/subsys/denyhosts'
in der denyhosts.cfg-dist Datei waren die Einträge richtig gesetzt

SECURE_LOG = /var/log/messages
HOSTS_DENY = /etc/hosts.deny


/var/log/secure ist doch bei debian, auf meine Kiste läuft Suse 9.2

Gruß
Stani
 
Last edited by a moderator:
Eine weitere Lösung wäre ausserdem, die Passwort-Authentifizierung abzuschalten und nur noch Login via SSH-Key zuzulassen.
 
wie im alles in der welt starte ich sshd unter RH9 neu??

hab schon vieles ausprobiert.. nix geht

/etc/init.d/sshd gibts auch nicht...
 
Scaah said:
Hi,
probiers mal mit xinetd restart

gruß

Scaah
Click to expand...
Startet er dann nicht die gesammte Internetverbindung neu?
d.h. ich fliege aus der shell und kann nur hoffen das alles passt und wenn nicht komme ich nicht mehr auf den Server?!?!
 
naja.. ich hatte damit keine probleme,

hab aber zur sicherheit ssh erstmal 2 ports gegeben.

sshd_config:
Code: 
#	$OpenBSD: sshd_config,v 1.59 2002/09/25 11:17:16 markus Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.

Port 22
Port xxx  <---- hier nr. 2
#Protocol 2,1
#ListenAddress 0.0.0.0
#ListenAddress ::

danach mit service xinetd restart neu laden lassen (*g* ich glaub nach dem 2. oder 3. mal hat er es dann auch geschnallt)

als dann alles lief - hab ich einfach übers control pannel mit der "power firewall" den port 22 dicht gemacht.

Scaah
 
Hallo Scaah,

schlauer wäre es einfach Port 22 aus der Konfig ganz raus zu nehmen.
Wo kein Dienst, da kein Risiko ;)
 
D.h. den sshd allein neustarten geht wohl nicht?


-------------------
p.s.: V40, danke für deine Verwarnung :D
 
Last edited by a moderator:
Natürlich geht das nicht. Nur weil Du Dein Auto neu startest, wird Dein Radio keinen neuen Sender eingespeichert haben.

Edit: Falls sich das darauf bezog, dass Du vorher die angesprochenen Änderungen durchführen willst und dann nur den SSHD neu startest, wäre die Aussage auch falsch. Dann reicht ein Neustart des Daemons.
 
Also.

Ich habe wie Scaah meine sshd_config wie folgt angepasst.

Code: 
Port 22
Port 0815
#Protocol 2,1
#ListenAddress 0.0.0.0
#ListenAddress ::

In der Powerfirewall habe ich Port 0815 freigeschaltet.
Habe "services xinetd restart" durchgeführt, hat auch geklappt.

Ich verwende Putty und wenn ich jetzt auf den port 0815 verbinde bekomme Ich die Meldung "Network error: Connection refused".
Das wiederum deutet doch auf die Firewall oder sehe ich das falsch?

Habe ich noch irgendwas vergessen?
 
Port 0815 ist wohl ein extrem übler Scherz, oder? Nimm als Port einfach mal *zufallszahl generier* ... 55123 und dann versuch das Ganze nochmal.
 
You must log in or register to reply here.
Back
Top