Archiv verlassen und diese Seite im Standarddesign anzeigen : Angriffe von aussen blocken =?
Hallo,
derzeit habe ich nun das Problem, das ich auf 3-4 oder 5 Root Server als "Angriffsziel" stehe und mein Root mit sowas zugespammt wird:
Aug 11 23:12:45 021 sshd[3684]: Failed password for illegal user inke from 218.55.77.212 port 36974 ssh2
Aug 11 23:12:47 021 sshd[3686]: Illegal user intske from 218.55.77.212
Aug 11 23:12:47 021 sshd[3686]: error: Could not get shadow information for NOUSER
Aug 11 23:12:47 021 sshd[3686]: Failed password for illegal user intske from 218.55.77.212 port 37069 ssh2
Aug 11 23:12:50 021 sshd[3688]: Illegal user iona from 218.55.77.212
Aug 11 23:12:50 021 sshd[3688]: error: Could not get shadow information for NOUSER
Aug 11 23:12:50 021 sshd[3688]: Failed password for illegal user iona from 218.55.77.212 port 37162 ssh2
Aug 11 23:12:52 021 sshd[3691]: Illegal user ireen from 218.55.77.212
Aug 11 23:12:52 021 sshd[3691]: error: Could not get shadow information for NOUSER
Aug 11 23:12:52 021 sshd[3691]: Failed password for illegal user ireen from 218.55.77.212 port 37252 ssh2
Aug 11 23:12:55 021 sshd[3693]: Illegal user irene from 218.55.77.212
Aug 11 23:12:55 021 sshd[3693]: error: Could not get shadow information for NOUSER
Aug 11 23:12:55 021 sshd[3693]: Failed password for illegal user irene from 218.55.77.212 port 37346 ssh2
Aug 11 23:12:57 021 sshd[3695]: Illegal user irenka from 218.55.77.212
Aug 11 23:12:57 021 sshd[3695]: error: Could not get shadow information for NOUSER
Aug 11 23:12:57 021 sshd[3695]: Failed password for illegal user irenka from 218.55.77.212 port 37441 ssh2
Aug 11 23:13:00 021 sshd[3697]: Illegal user ires from 218.55.77.212
Aug 11 23:13:00 021 sshd[3697]: error: Could not get shadow information for NOUSER
Aug 11 23:13:00 021 sshd[3697]: Failed password for illegal user ires from 218.55.77.212 port 37529 ssh2
Aug 11 23:13:02 021 sshd[3699]: Illegal user iriana from 218.55.77.212
Aug 11 23:13:02 021 sshd[3699]: error: Could not get shadow information for NOUSER
Aug 11 23:13:02 021 sshd[3699]: Failed password for illegal user iriana from 218.55.77.212 port 37618 ssh2
Aug 11 23:13:05 021 sshd[3701]: Illegal user irini from 218.55.77.212
Aug 11 23:13:05 021 sshd[3701]: error: Could not get shadow information for NOUSER
Aug 11 23:13:05 021 sshd[3701]: Failed password for illegal user irini from 218.55.77.212 port 37715 ssh2
Aug 11 23:13:07 021 sshd[3703]: Illegal user irinia from 218.55.77.212
Aug 11 23:13:07 021 sshd[3703]: error: Could not get shadow information for NOUSER
Aug 11 23:13:07 021 sshd[3703]: Failed password for illegal user irinia from 218.55.77.212 port 37804 ssh2
Wie kann ich sowas allgemein direkt blocken? Geht sowas überhaupt ??
das sind meistens irgendwelche scripte die verschiedene usernamen ausprobieren... du kannst dieses gespame verhinden, indem du einfach ssh auf einen höheren port, bspw. 3022 oder so setzt.
Ich weiß nicht ob es was bringt,aber für diesen Adressenbereich ist die Abuse-Mail:
abuse@hanaro.com
Schicke da einfach die Logs hin.
Also seitdem ich nun das Teil neu hab und keiner mehr sich unberechtigterweise einloggen kann bekomme ich von 4-5 ISP "Anbietern" son gespame -.- ich glaub mails an anbuse irgendwo kann ich mir sparen ^^
ok zusatz dumme frage wo "lege" ich den telnet port höher :?
wie du nimmst telnet her??? nimm lieber ssh da kannst du in der sshd.conf des ändern
greetz
wie du nimmst telnet her??? nimm lieber ssh da kannst du in der sshd.conf des ändern
greetz
sry falsche ausdrucksweise nat. benutz ich ssh :) ich guck mal in der conf. :rolleyes:
auszug aus der sshd_config:
# What ports, IPs and protocols we listen for
Port 22
und pass deine firewall-regeln entsprechend an, sonst sperrst du dich aus ;)
auszug aus der sshd_config:
# What ports, IPs and protocols we listen for
Port 22
und pass deine firewall-regeln entsprechend an, sonst sperrst du dich aus ;)
was wo firewall :? brbr ich glaub ich bin selbst mein größter feind ^^
was wo firewall :? brbr ich glaub ich bin selbst mein größter feind ^^
naja ich bin jetzt einfach mal davon ausgegangen, dass du auf deinem root-server eine firewall installiert hast...
du unternimmst doch was für deine sicherheit bzw. die sicherheit deiner daten, machst du doch, oder? ODER? :D
ansonsten... herzlichen glückwunsch
da bin ich doch nun wieder dabei seitdem der neu ist nur der, der das "Kann" ist in südfrankreich und nun mach halt ich mal . gibts vl. nirgends so nen tut thread, wo ich mich da mal einarbeiten könnte ? :confused:
nach x mal falsches ssh passwort einfach IP sperren
http://linux.newald.de/new_design/login_check.html
k also das tool geht auf IPs und nicht auf den versuchten "user" ? (nur so zum verständniss) danke nochmal
naja ich bin jetzt einfach mal davon ausgegangen, dass du auf deinem root-server eine firewall installiert hast...
du unternimmst doch was für deine sicherheit bzw. die sicherheit deiner daten, machst du doch, oder? ODER? :D
ansonsten... herzlichen glückwunsch
Ein Root-Server braucht doch keine Firewall sofern ALLE nicht benötigten Dienste nicht laufen
Schau dir mal "port knocking" an. Das könnte laufen
Gruess
r2k
P.S. Hurra 650er Post :P
Ein Root-Server braucht doch keine Firewall sofern ALLE nicht benötigten Dienste nicht laufen
hab ich irgendwas davon geschrieben, dass ein root-server unbedingt eine firewall/pf braucht? nein.
hab ich irgendwas davon geschrieben, dass ein root-server unbedingt eine firewall/pf braucht? nein.
Nein hast du nicht, scheinbar habe auch ich das falsch verstanden
Nein hast du nicht, scheinbar habe auch ich das falsch verstanden
hätten wir das geklärt ;)
nochmal zurück zu dem Script :?
ich hab perl installiert trotzdem sagt es mir :
IPC/Shareable.pm << nicht auffindbar (ist auch def. nicht aufm server)
aber Perl ist aufm neusten stand ?
Ein Root-Server braucht doch keine Firewall sofern ALLE nicht benötigten Dienste nicht laufen
Naja das stimmt IMO nicht so ganz, denn
1. es laufen vielleicht Dienste von denen Du gar nichts weisst! (Beispiel: mache server bringen webinterfaces mit, die vielleicht default massig aktiviert und unsicher konfiguriert sind
2. andere dienste sollen nur local erreichbar sein (z.B mysql) - auch hier schuetzen iptables im Falle von Fehlkonfiguration
3. Eine firewall beschraenkt sich nicht auf das blosse blocken von ports sonder erfuellt auch wichtige logging funktionen, limits (gegen brute force und DoS) oder hilft server gegen bekannte Sicherheitsluecken zu schuetzen indem es "boese" Pakete aussortiert.
Roger Wilco
13.08.05, 18:23
IPC/Shareable.pm << nicht auffindbar (ist auch def. nicht aufm server)
aber Perl ist aufm neusten stand ?
Dann installiere IPC::Shareable (http://www.cpan.org/authors/id/B/BS/BSUGARS/) eben über CPAN oder die Pakete, die der Distributor vllt. anbietet.
Roger Wilco
13.08.05, 18:26
1. es laufen vielleicht Dienste von denen Du gar nichts weisst! (Beispiel: mache server bringen webinterfaces mit, die vielleicht default massig aktiviert und unsicher konfiguriert sind
Dann hast du aber Probleme, die mit einem Paketfilter auf dem Server (und darum ging es IMHO) nicht lösen kannst. Außerdem gibt es ja noch `netstat`und Konsorten...
2. andere dienste sollen nur local erreichbar sein (z.B mysql) - auch hier schuetzen iptables im Falle von Fehlkonfiguration
Wie schon oben geschrieben hast du dann ganz andere Probleme, wenn du einen Paketfilter benötigst, um deine Fehlkonfigurationen hinzubiegen.
Wie schon oben geschrieben hast du dann ganz andere Probleme, wenn du einen Paketfilter benötigst, um deine Fehlkonfigurationen hinzubiegen.
Es ist halt eine zusaetzliche Sicherheit. Sieh es doch andersrum: Wozu soll port xyz offen sein, wenn da eh nichts laeuft.
Roger Wilco
13.08.05, 20:09
Es ist halt eine zusaetzliche Sicherheit. Sieh es doch andersrum: Wozu soll port xyz offen sein, wenn da eh nichts laeuft.
Du verwechselst Ursache und Wirkung. Wenn keine Anwendung an einen Port gebunden wird ("nichts auf dem Port läuft"), dann ist er auch nicht "offen".
Du verwechselst Ursache und Wirkung. Wenn keine Anwendung an einen Port gebunden wird ("nichts auf dem Port läuft"), dann ist er auch nicht "offen".
Er kann aber schnell offen werden wenn du etwas falsch konfigurierst oder Dir einen Trojaner einfaengst.
Wenn Du allerdings unfehlbar bist, dann ist default police ACCEPT fuer Dich die richtige Wahl ....
alterpinguin
14.08.05, 11:52
Du verwechselst Ursache und Wirkung. Wenn keine Anwendung an einen Port gebunden wird ("nichts auf dem Port läuft"), dann ist er auch nicht "offen".
prinzipiell richtig, aber es gibt immer noch zu viele Packettypen auf die per Default die Netzwerkkarte/Stack antwortet. Werden solche Pakete im firewall gedroppt, dann wird auch keine Antwort darauf geschickt. Bei dem immer noch steigenden Traffik an Scans kann das sogar zwingend werden.
.
.
.
was geht in einem Kopf vor, der sich Netzwerkpakete mit RST, NACK Kombinationen zusammenstellt?
Roger Wilco
14.08.05, 13:39
Er kann aber schnell offen werden wenn du etwas falsch konfigurierst oder Dir einen Trojaner einfaengst.
Wenn Du allerdings unfehlbar bist, dann ist default police ACCEPT fuer Dich die richtige Wahl ....
Das hat nichts mit Unfehlbarkeit zu tun. Wenn du auf einem Root-Server Dienste falsch konfigurierst oder du ein Rootkit auf der Kiste hast, hilft dir ein Paketfilter auch nichts mehr. Du glaubst doch nicht, dass jemand, der MySQL falsch konfiguriert (um mal dein Beispiel aufzugreifen) fähig ist, einen gescheiten Regelsatz für iptables zu erstellen. :rolleyes:
prinzipiell richtig, aber es gibt immer noch zu viele Packettypen auf die per Default die Netzwerkkarte/Stack antwortet.
Und viele davon kann man mit sysctl einschränken. Dazu ist noch kein Paketfilter notwendig.
Werden solche Pakete im firewall gedroppt, dann wird auch keine Antwort darauf geschickt. Bei dem immer noch steigenden Traffik an Scans kann das sogar zwingend werden.
Welche Scans verursachen denn bitte so viel Traffic? Mal davon abgesehen wäre eine solche Policy dann in einer Firewall vor dem Server eher angebracht.
Mir geht es hier ausschließlich um Paketfilter auf dem Server.
was geht in einem Kopf vor, der sich Netzwerkpakete mit RST, NACK Kombinationen zusammenstellt?
Es sind Sommerferien in vielen Bundesländern, was erwartest du denn anderes? ;)
#!/bin/bash
# should be run from cron every 30 minutes
# will reset the temporary Chain to contain nothing
iptables -F TMPDROP
l="/var/log/messages"
r=`grep "PermitRootLogin" /etc/ssh/sshd_config|sed -e s'/PermitRootLogin //'`
# vertipper
v=`grep "Failed password for root from" ${l} |sed -e s'/.*from //g'|awk '{ print $1 }'|wc -l`
# behandlung
b=`grep "Failed password for root from" ${l} |sed -e s'/.*from //g'|awk '{ print $1 }'|head -1`
if [ "${v}" -ge '10' ] ; then
logger -t audit -p err "temporary disable connections from host "$b",no one needs 10 tries for ssh, also root login
is set to: "${r}" " ;
# bug , die table muss nur einmal gesetzt werden
iptables -N TMPDROP
iptables -A TMPDROP -p tcp -s "${b}" -j DROP;
fi
PS. Es gab hier im Forum auch schonmal einen Link auf eine C Basierte
Loesung...
Portknocking und Port verlegen ist glaube ich keine gute Loesung fuer
den produktiven Einsatz...
Alternativ SSHD Logging runtersetzen, Password-Authentication abstellen.
greetz l.h.
Hier ist eine interessante Lösung, die maximal 3 Verbindungs-Versuche pro Minute von jeder IP-Adresse erlaubt:
http://www.aumund.org/node/869
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.