Hallo,

ich habe auf meinen Servern (verschiedene Anschlüsse) mittlerweile immer öfters logs, die zeigen, dass mirt jemand den Server über ssh knacken will (die, die vermuten, dass jemand kein passort vergibt und deshlab unendlich viele verschienden Namen ausprobieren (lassen))

Jun 29 08:35:33 backup sshd[15735]: Invalid user admin from ::ffff:x.x.x.x

Was soll ich nun machen? Die wahrscheinlichkeit ist groß, das es über Proxy Server ging, aber die geschwindigkiet der SSH Anforderungen (manchmal 7 in der Sekunde) lassen mich here darauf schließen, dass es sich um einen schnellen Internetanschluss handelt und net um nen lahmen Proxy. Deshalb meine Frage: was kann ich machen? Bei der Telekom anrufen und die schaun dann nach der IP und wem die gehört? Oder was kann man da alles machen?

Und dann noch die logische Schlussfolgerung, mit welchen programmen kann ich selber herausfinden, ob meine Server sicher sind? Wie macht ihr das? Selber anfangen mit portsniffrern etc rumzuspielen und zu hacken, oder gibts da schon ein schönes tool?

PS: Hab die Ports natürlichz gleich dicht gemacht und root passwort geändert


Grüße Johannes

Hallo,

ich habe auf meinen Servern (verschiedene Anschlüsse) mittlerweile immer öfters logs, die zeigen, dass mirt jemand den Server über ssh knacken will (die, die vermuten, dass jemand kein passort vergibt und deshlab unendlich viele verschienden Namen ausprobieren (lassen))

Jun 29 08:35:33 backup sshd[15735]: Invalid user admin from ::ffff:x.x.x.x

Was soll ich nun machen? Die wahrscheinlichkeit ist groß, das es über Proxy Server ging, aber die geschwindigkiet der SSH Anforderungen (manchmal 7 in der Sekunde) lassen mich here darauf schließen, dass es sich um einen schnellen Internetanschluss handelt und net um nen lahmen Proxy. Deshalb meine Frage: was kann ich machen? Bei der Telekom anrufen und die schaun dann nach der IP und wem die gehört? Oder was kann man da alles machen?

Und dann noch die logische Schlussfolgerung, mit welchen programmen kann ich selber herausfinden, ob meine Server sicher sind? Wie macht ihr das? Selber anfangen mit portsniffrern etc rumzuspielen und zu hacken, oder gibts da schon ein schönes tool?

PS: Hab die Ports natürlichz gleich dicht gemacht und root passwort geändert


Grüße Johannes


Hi,

das Thema wurde hier schon mehrfach behandelt.

Du kannst beispielsweise per IPTables nach drei erfolglosen Anmeldeversuchen die IP für eine bestimmte Zeitdauer vom Zugriff sperren, das würde viele Angreifer zumindest ausbremsen. Wie das funktioniert sollte sich über die Suchfunktion hier im Forum finden lassen.

Ansonsten gilt: Wenn du ein sicheres Passwort gewählt hast, brauchst du dir keine Sorgen zu machen. Optimal wäre natürlich, wenn du den SSH-Login als Root grundsätzlich deaktiviert hast um das Risiko weiter zu minimieren.

-hanky-

In der Regel sind das nur ein paar Skriptkiddies die mit ihren tollen Programmen eine IP-Range durchtesten. Solche "Angriffe" sind bei vernünftiger Absicherung eigentlich kein Problem. Einen Großteil davon kannst du aber auch einfach dadurch abhalten, dass du SSH nicht auf den standard Port legst.

Morgen,

naja den Port des SSH verschieben ist nicht wirklich eine sichere Massnahme, denn den kann man schnell rausfinden. Klar hält es Skripte ab, mehr aber nicht.

Sowas habe ich auch Tagtäglich in meinen Logs und das bestimmt schon über ein halbes Jahr. Mehr wurde bisher noch nicht probiert.

Gruß Malte

@Multe

Ich habe ja auch nicht gesagt das es sicherer ist. Natürlich findet man das mit einem Portscan schnell raus. Aber in meinem Post ging es wie gesagt nur darum, dass es viele der Skritpe abhält. Das macht es nicht sicherer, aber hält die Logs kleiner und man bemerkt einen wirklichen Angriff schneller.

Hallo,

das ist klar, sowas werde ich auch einrichten. Mein Passwort hat ja auch über 20 stellen, aber mir geht es wie gesagt um die Skriptkiddies, die da rumspielen, das kanns net sein!
Das ganze soll mehr den erzieherischen Effekt haben. Ich möchte dennen ja nur "zeigen", dass sowas einfach nicht geht! Und das halt irgendwie von der Telekom aus, dass es auch wirkt...

Grüße und danke für die Tipps

Johannes

Und das halt irgendwie von der Telekom aus, dass es auch wirkt...

Dann melde deinen Anschluß von der Telekom ab und geh lieber im Wald spazieren, wenn du dich über solche Rauscherscheinungen im Internetz aufregst.

Bei solchen Kindern kannste nix machen und für Erziehung isses da wohl eh zu spät. Leg SSH auf nen anderen Port, um die Logs klein zu halten und freu dich drübre, dass die dir gar nix können, mehr kannste net machen. T-Online hat afaik zwar ne Mailadresse für solche Vorfälle, aber viel machen werden die wohl auch net.

Hallo zusammen,

ok, alles klar, dann lass ich die schön weiter rumhacken...

Danke für eure Tipps etc,

Grüße Johannes

Hi Johannes,
schau Dir das mal an: IPBLOCK (http://linux.newald.de/new_design/login_check.html) Soll sehr gut funzen, ich habs aber noch nicht installiert.

Wenn Dein Passwort über 20 Zeichen lang ist, kannst Du doch ruhig schlafen. Clevere Hacker gehen meistens über einen gehackten Server ans Werk, d.h. die mitgeloggte IP muss nicht immer direkt den Hackern zugeordnet sein. Ich denke, da ist alle Mühe vergebens.

Also wenn man ssh ins Internet unbedingt braucht würde ich die Anklopf-Funktion (weiss nur nimmer ob das über iptables oder ssh geht) nutzen, dann muss nämlich erst auf einen anderen Port eine Connection geöffnet werden damit der ssh-Port aufgemacht wird.
Wenn man dann nur schnell drüberscannt sieht es so aus, als wäre kein ssh auf dem Rechner am Laufen.

Shutdown

Grübel mal ein bisserl, hört sich garnicht so schlecht an der Tipp ;)

Hi Blade,

das Scriprt hört sich echt interessant an, bin schon am einrichten, nur kommt der folgende fehler beim ausführen (als root):


./ip_blocker
Can't locate IPC/Shareable.pm in @INC (@INC contains: /usr/lib/perl5/5.8.6/i586-linux-thread-multi /usr/lib/perl5/5.8.6 /usr/lib/perl5/site_perl/5.8.6/i586-linux-thread-multi /usr/lib/perl5/site_perl/5.8.6 /usr/lib/perl5/site_perl /usr/lib/perl5/vendor_perl/5.8.6/i586-linux-thread-multi /usr/lib/perl5/vendor_perl/5.8.6 /usr/lib/perl5/vendor_perl .) at ./ip_blocker line 59.
BEGIN failed--compilation aborted at ./ip_blocker line 59.

Also, da fehlt wohl ein perl-packet, doch welches? Yast gibtr mir da ja ewig viele verschiedene an! Muss ich da alle installieren? Perl an sich ist in der 5.6.8 Version installiert.

Danke, Grüße Johannes

Hi Johannes,
weiß leider auch keine Abhilfe. Bei mir meldet das Tool:
cannot execute binary file ...
was auch immer das heißt?
Habe dem Programmierer schon ne Mail geschickt, keine
Reaktion ... funzt net!

Hast Du auf Deinem Rechner die SuSE-FIREWALL am Laufen, ich nicht! Eventuell liegt das Problem daran? :confused:

Wieso ein extra Script einsetzen, wenn das gleiche auch mit Iptables selbst möglich ist.

Schaut euch mal das 'recent' Modul an.

Mein Passwort hat ja auch über 20 stellen,
Sicher?
Oft ist es so, dass die Passwortlaenge auf 8 Zeichen beschraenkt ist, d.h. der Rest wird einfach ignoriert.

Also wenn man ssh ins Internet unbedingt braucht würde ich die Anklopf-Funktion (weiss nur nimmer ob das über iptables oder ssh geht) nutzen, dann muss nämlich erst auf einen anderen Port eine Connection geöffnet werden damit der ssh-Port aufgemacht wird.
Wenn man dann nur schnell drüberscannt sieht es so aus, als wäre kein ssh auf dem Rechner am Laufen.
Shutdown

darüber war mal n dicker Artikel in der Ct. Man muss an meheren Ports "anklopfen" bevor ein bestimmter Port geöffnet wird.

Hi zusammen,

@Blade
Ja, ich hab die SuseFirewall laufen. Naja...wäre zu schön gewesen mit dem Script :)

@steve-e
Werde ich heute mittag gleich mal dannach googeln

@rudi_m
Is dat bei Suse 9.3 auch noch so? Bei älteren Versionen ja, aber bei den Neuen, glaube ich nicht mehr

@zippelmann
Das ganze ist ja, gut, doch ich brauche meinen SSH Port um mit rsync zwischen den beiden Servern synchronisieren zu können. Und da isses ja voll stressig immer zuerst über anzuklopfen. Da müsst ich ja 1000 Scripte anpassen *argh*
Ich lass ihn momentan auf den Port 4567 "leiten", schicke ihn so übers Netz und im anderen Router wird er dann wieder von 4567 zurück auf 22 geleitet. So hab ich mal wenigstens nen anderen Port und man kann net so leicht mit scannen herausfinden, dass da SSH läuft. Das kann aber net die endgültige Varainte sein...

Danke für eure Hilfe,

Grüße Johannes

...mein Passwort hat ueber 20 Stellen

Sicher?
Oft ist es so, dass die Passwortlaenge auf 8 Zeichen beschraenkt ist, d.h. der Rest wird einfach ignoriert.
Dann schmeisst die Passworte weg und authentifiziert ueber SSH-Public-Keys.
Die haben verdammt viele Stellen.

./ip_blocker
... Can't locate IPC/Shareable.pm in @INC ...
... Also, da fehlt wohl ein perl-packet, doch welches? ...

das da?

IPC/Shareable.pm

@Blackhawk

:D


Grüße Johannes