Hallo,

seit einiger Zeit versucht sich jemand über SSH mit dem Benutzer "root" einzuloggen, jede Sekunde werden mehrere Anfragen gestellt der "Angriff" geht meistens mehrere Stunden.

Da diese Anfragen den Server doch ein wenig belasten (ein root-Login ist sowieso nicht aktiviert) wollte ich fragen ob es möglich ist die IP-Adresse des Angreifers zu blocken, ist dies mit dem Befehl:



iptables -A INPUT -s 123.456.789. -p sshd -j DROP

möglich?, bzw. kann ich die IP-Adresse komplett für alle Serverdienste sperren?

Danke

Die IP für SSHD ignorieren:

iptables -A INPUT -p TCP --dport 22 -s 123.123.123.123 -j DROP
Die IP komplett ignorieren:

iptables -A INPUT -s 123.123.123.123 -j DROP

ich würde eventuell sogar drüber nachdenken, ne Anzeige wegen versuchter Computersapotage o.ä. zu erstatten.

hmm mal sehen ob die taiwaner sich dafür interessieren (jedenfalls bei mir versucht es ein taiwaner... seit wochen o_O
(root kann nur per hostkey rein)

*g*

grüsse
Silvan

jedenfalls bei mir versucht es ein taiwaner... seit wochen o_O

Woher willst du wissen, dass es ein Taiwaner ist?

traceroute und dns reverse abfrage?

traceroute und dns reverse abfrage?

Und wenn der Angreifer "nur" einen taiwanesischen Proxy verwendet?

wennde irgentwie ne mailaddy vom angreifer hast (oder des ervers ueber den er geht) solltes du auch ne mail an diesen schreiben und auf unterlassung bestehn.

wennde irgentwie ne mailaddy vom angreifer hast (oder des ervers ueber den er geht) solltes du auch ne mail an diesen schreiben und auf unterlassung bestehn.

A) Darüber freut sich dann jeder Spammer, weil er weiß, dass diese Adresse genutzt wird.

oder

B) Der arme Sack bzw. die arme Säckin, dessen Freund/in einen wurminfizierten PC hat, bekommt dann von dir eine E-Mail und wundert sich, wieso du ihn/sie so blöd anmachst.

Und wenn der Angreifer "nur" einen taiwanesischen Proxy verwendet?
eben...
wie soll man da noch strafanzeige machen? (ich habe mich auf den vorhergehenden post bezogen!)

eben...
wie soll man da noch strafanzeige machen? (ich habe mich auf den vorhergehenden post bezogen!)

OK OK ;)

Aber Strafanzeige kann man ruhig machen. Der Nutzen der Anzeige geht aber in diesem Fall (wegen eines lächerlichen Login-Versuchs auf schwache Passwörter, die leider mittlerweile zur Minutenordnung gehören) gegen Null.

Danke erstmal für die Befehle, klappt wunderbar ;)

Eine Frage noch wäre es möglich das man den SSH-Zugang nach z. B. drei fehlerhaften Login-Versuchen für eine IP sperrt?

http://linux.newald.de/new_design/login_check.html

http://linux.newald.de/new_design/login_check.html

Super, vielen Dank :)

Heute Nacht hat ein Server-User aus Houston/Texas gestandene 3 Stunden meinen Server mit ssh-login-Versuchen bombardiert.

Das Script zum ssh-IP-blocken sieht ja gut aus, aber wie installier ich das. Muss man das starten oder wie laäuft das ab?

Das Script zum ssh-IP-blocken sieht ja gut aus, aber wie installier ich das. Muss man das starten oder wie laäuft das ab?

Im Hintergrund (als Daemon) laufen lassen?!

na ich werd es mal testen ... ist sonst noch etwas zu beachten?

Warum ist denn im Script
#!/usr/bin/perl
die erste Zeile auskommentiert, ist das okay?

Danke!

#!/usr/bin/perl
die erste Zeile auskommentiert, ist das okay?

Das ist die shebang-Zeile. Das findest du (fast) in jedem Perl-Skript...

Wenn ich das Script als User root starte erhalte ich immer:
"cannot execute binary file"

Keine Ahnung welchen file das Script damit meint? :o

Ich habe auf dem SuSE 9.3 - Server keine Firewall am Laufen, da er hinter der NAT-Firewall des Hardware-Routers hängt. iptables ist aber installiert.

pearl installiert??? Bei mir läuft dat auch noch net, weil nur ein pearl Modul fehlt. Dumm das es tausende gibt :confused:

übrigens #!/ steht am Anfang von (fast) allen scripts und gibt an unter was für ner shell dat ganze laufen soll. Hier halt mit pearl. Deshalb steht bei unix shell scripten meistens auch #!/bin/ksh oder so was.

Danke für den Hinweis, bin aber mal echt gespannt, wer das Teil wie zum Laufen bekommt :confused: ;)

Hier noch ein paar Programme, die die gleiche Funktion und evtl. noch etwas mehr bereitstellen (nur das, was man auf die schnelle mit Google findet):
BlockHosts (http://www.aczoom.com/cms/blockhosts)
sshdfilter (http://www.csc.liv.ac.uk/~greg/sshdfilter/)
SWATCH (http://swatch.sourceforge.net/)
psad (http://www.cipherdyne.com/)
portsentry (http://sourceforge.net/projects/sentrytools/)

Ansonsten lässt sich das ganze auch direkt mit dem Iptables recent Modul bewerkstelligen:
http://blog.blackdown.de/2005/02/18/mitigating-ssh-brute-force-attacks-with-ipt_recent/
http://olivier.sessink.nl/publications/blacklisting/index.html
http://www.swisspowered.net/wiki/index.php/Networking:Brute_force_SSH

hey @all,

warum so kompliziert. Schon mal daran gedacht sshd und ssh auf einen anderen port zu legen? Kann man in den configdateien ssh_config und sshd_config einstellen.
Beide sollten/koennen/duerfen sich in /etc/ssh befinden.

gruß pierre

Das ist normal, ich entdecke immer wieder solche versuche in den Logs. Die meisten versuche es als User root. Der root-Zugang per SSH ist sowieso blockiert, so passiert nicht viel.

Kürzlich habe ich mal testweise an die abuse-Addresse des whois-Eintrag des Angreiffer-Netzwerk geschrieben, habe bislang noch nichts gehört.

Gruss, Andy

Wieso irgendwelche komplizierten Scripte installieren, wenn sich das ganze auch über Iptables realisieren lässt.

Schaut euch mal das recent-Modul an

übrigens hilft noch was: überprüfen ob der eigene rechner in irc.undernet.org/#victima rumsifft. wenn ja, hat man ein echtes problem, und dann bitte mir emailen ich hatte nun mit diesen crackern dort zu tun.
(mit der polizei haben wir nun auch kontakt!)

übrigens hilft noch was: überprüfen ob der eigene rechner in irc.undernet.org/#victima rumsifft. wenn ja, hat man ein echtes problem

Ähm, ich verstehe den Zusammenhang zu diesem Thema nicht ganz. Aber kannst du mal näher (technisch) erklären, was du mit "rumsifft" meinst?

Ob dein Server diesen Channel abhört um auf Befehle seines Herrn und Meisters zu reagieren, die er per IRC gesendet bekommt...

mfg
cane

übrigens hilft noch was: überprüfen ob der eigene rechner in irc.undernet.org/#victima rumsifft. wenn ja, hat man ein echtes problem, und dann bitte mir emailen ich hatte nun mit diesen crackern dort zu tun.
(mit der polizei haben wir nun auch kontakt!)

es gibt aber mehr als einen channel und mehr als einen irc-server :) deine ip irgendwo im IRC zu suchen ist denke ich wie die suche nach der stecknadel.... :ugly:

m0p']es gibt aber mehr als einen channel und mehr als einen irc-server :) deine ip irgendwo im IRC zu suchen ist denke ich wie die suche nach der stecknadel.... :ugly:


darf ich mich selber zitieren???



übrigens hilft noch was: überprüfen ob der eigene rechner in irc.undernet.org/#victima rumsifft. wenn ja, hat man ein echtes problem, und dann bitte mir emailen ich hatte nun mit diesen crackern dort zu tun.
(mit der polizei haben wir nun auch kontakt!)




server = irc.undernet.org wie gesagt
channel = #victima wie gesagt



wann lernen die leute zu lesen was ich schreibe? :( :(