Seit etwa gestern abend versucht andauernd jemand, sich auf meinem System einzuloggen. Habe es gestern abend per wireshark gemerkt und dann in die auth.log geschaut. Dort hat jemand versucht, sich mit allen möglichen Namen zu authorisieren.
Und heute gibt es andauernd DOS-Attacken. Sehe das am log meines Routers:



Sat, 2007-12-29 12:37:30 - TCP Packet - Source:218.167.185.59,4119 Destination:84.173.194.94,135 - [DOS]


Kann ich irgendwie diese IP-Adressen komplett blocken? Oder gibt es eine andere wirkungsvolle Art, sich zu wehren / schützen??

Danke

Zunächst Sicherheit der Passwörter checken, root-Zugriff von außen sperren, System mit den letzten Sicherheitsupdates versorgen, Port wechseln oder iptables-Filter aufsetzen?

Werde iptables mal aufsetzen, danke.
Habe es bei mir so eingestellt, dass sich auf meinem PC nur ein User per ssh einloggen kann, der auch über den privaten ssh-key verfügt.

Trotzdem finde ich den Gedanken sehr beunruhigend, dass sich ständig jemand versucht, hier einzuloggen. Habe die Internetverbindung auch schon häufiger gekappt und ne neue IP erhalten. Trotzdem das gleiche. Ich denke, dass sich der Angreifer den Namen von dyndns besorgt, weil ich dort einen account habe.
Gibt es nichts, mit dem ich den Angreifer per se gleich mal blocken kann? Vielleicht lässt er dann mal locker.

Dyndns nicht verwenden, falls du es nicht unbedingt brauchst... Ein bewegliches Ziel ist immer schwerer zu treffen, als ein stehendes...

Grüsse, Steven

würde ich ja gerne machen, aber brauche dyndns unbedingt. Dient dazu, dass ich mich selbst auf meinem PC einloggen kann, wenn ich nicht zu Hause bin.

EDIT: hab aber trotzdem mal dyndns ausgeschaltet: kein Erfolg: der Angriff kommt nun eben nicht direkt nach der neuen Einwahl ins Internet, sondern ein paar Minuten später.
Finde es wirklich sehr beunruhigend, dass hier jemand ständig versucht hier ins System zu kommen. Habe mittlerweile auch gar kein Port-forwarding im Router eingestellt, so dass auch kein PC zu erreichen wäre. Aber kann der Angreifer dann auf den Router zugreifen?

Kennst du jemanden, den du verdächtigen würdest? Oder der zumindest das entsprechende Wissen für solche Attacken hätte?

Grüsse, Steven

Nein.
Nur ein Nachbar hat genug Wissen, um so etwas theoretisch zu machen. Und der ists definitiv nicht. Braucht er auch gar nicht, da wir Nachbarn sind und wir die Passwörter des jeweils anderen WLANS haben (aus Gründen der Verfügbarkein im Garten - naja, zumindest im Sommer :-D ). Alle anderen sind maximal in der Lage, einen PC einzuschalten. Aber was DoS ist, von dem haben sie keine Ahnung.

Doch, einer weiss, dass es ein Betriebssystem vor Windows war...

Muss also ein anderer sein.
Werde mich aber mal an die Konfiguration von IPtables machen. Nur scheint mir das ein etwas umfangreicheres Projekt zu sein.

Das ist bestimmt 'Cuda in seiner Funktion als eingeschleuster NSA-Agent (Siehe hier (http://www.linuxforen.de/forums/showthread.php?t=246003&highlight=Selbstzerst%F6rung))

Grüsse, Steven

...werd ihm mal ne PN mit der Androhung von körperlicher Gewalt schicken :-D Ob er wohl schon von seinem Glück weiss ;-)

Nee, ernsthaft: werden immer mehr Angriffe - von ganz unterschiedlichen Adressen. Zähle vorneweg so 8-10 Stück. Wird immer heftiger. Hab auch irgendwie Angst, dass die einfach mal so ne Menge zusammenbekommen, dass der Router irgendwann ganz einfach nix mehr macht, weil er zu sehr mit den Login-Anfragen beschäftigt ist.

Könnte es sein, dass sich dein Rechner in einem Bot-Netz tummelt?

Grüsse, Steven

Bot-Netz?

Habe keine P2P-Dienste aktiviert, wenn Du das meinst. Hab auch grad mal fetchmail usw. deaktiviert und lasse wireshark laufen. Finde hier über die Netzwerkkarte meines PCs eigentlich keine Aktivitäten, was mich beruhigt. Lediglich "altserviceboot" zu einer Internet-Adresse. Von dieser aus finden aber keine Atacken statt.

Sicher deine Kiste ordentlich ab und fertig. Das kommt von hinet.net und ist voellig normales Netzrauschen. Aus der Gegend kommt eben viel Muell.

Also ich hab meinen Rechner hier auch bei dyndns registriert, hab einen Server von nem Verein mit ner festen IP und auch einen Server in der Firma. Auf allen drei habe ich ständig Loginversuche von verschiedenen IP. Es werden mal Computertypische Usernamen wie root, Admin, Administrator, Manager, mysql, Operator oder so verwendet und ein anderes Mal sind es Vornamen aller Art wie John, Michael, Rita, Zara oder was weiss ich.

Am besten änderst du dein NAT in deinem DSL-Router, das nicht Port 22 extern auf Port 22 intern weiter geleitet wird, sondern z.b. 65535 extern auf 22 intern. Oder wenn du per DMZ-Funktion alles weiter leitest, ändere intern auf deinem Rechner den Port in der Datei sshd_config. Nimm irgendwas über 1024, was du dir merken kannst. Dann loggst du dich von Ausserhalb ein mit:


ssh -p 65535 user@deinhost.dyndns.org

Reiner
;)

werde ich auf jeden Fall den Port wechseln. Was mich eben nur irritiert ist die Tatsache, dass ich momentan dyndns gar nicht laufen habe und trotzdem laufend Attacken kommen. Das war vorher nie. Wenn ich einmal einen Angriff bemerkt habe, konnte ich alleine mit einer einmaligen Neueinwahl ins Internet das Problem lösen. Aber jetzt scheint hier jemand sehr hartnäckig zu sein.

Das ist bestimmt 'Cuda in seiner Funktion als eingeschleuster NSA-Agent (Siehe hier (http://www.linuxforen.de/forums/showthread.php?t=246003&highlight=Selbstzerst%F6rung))

Grüsse, Steven

Maa-aan! Verrat doch nicht alles!

'cuda

Maa-aan! Verrat doch nicht alles!

'cuda

Ach ich vergass zu sagen, dass ich früher beim KGB war :D:D

Grüsse, Steven

... Was mich eben nur irritiert ist die Tatsache, dass ich momentan dyndns gar nicht laufen habe und trotzdem laufend Attacken kommen. ...

Hatte ich vergessen: ich hab nur zu hause Dyndns. Die anderen beiden Server in meinem Beispiel, sind nur per IP erreichbar. Hat also mit dyndns und Co. nix zu tun.

Reiner

dyndns zieht auch nicht automatisch mehr hacker an...
es sind meist nur einfache scripts, die ganze ip-ranges durchprobieren ob der port 22 denn offen ist, um dann kurz darauf einen connect zu machen...
fail2ban
ist vielleicht eine möglichkeit die logs nicht zu sehr zu füllen, wenngleich die sicherheit dadurch nicht wirklich steigt.

greetz

Auch den Port 22 hab ich mittlerweile geschlossen.
War gerade eben so heftig, dass ich die Internetverbindung wieder neu starten musste, weil kopete keine Verbindung herstellen konnte. Sofort beim Verbindungsversuch kam die Meldung, dass dieser abgelehnt wurde. So schnell findet idR keine Prüfung des Servers statt. Sondern der Fehler muss woanders (sprich: im Router) liegen.

Was ist das denn fuer ein Router? Vielleicht ist der einfach ueberfordert.

Netgear Rangemax Next (WNR834B). Nagelneu, gestern gekauft, weil der alte meinen Vater (s. anderen Thread) nicht mehr ins Netzwerk gelassen hat.

Werde den Router mal für eine Weile vom Netz hängen (über Nacht). Vielleicht hilft es, damit die Angreifer merken, dass sie auf ein nicht vorhandenes Ziel schliessen....

Das Wechseln des Ports bringt nichts oder nur wenig: kein Sicherheitsplus und keine große Hilfe gegen Portscans. Setze lieber auf fail2ban; richtig konfiguriert sperrt das Skript nach z.B. fünf fehlgeschlagenen Anmeldeversuchen eine IP.

Okay. werde ich installieren und heut abend mal konfigurieren. Nur was mache ich gegen DoS-Attacken?

Du könntest mit iptables-Regeln (burst-) limits setzen. Ich nutze gerne Vuurmuur (http://www.vuurmuur.org/), um die Details zu konfigurieren, weil meine Ansprüche an die Firewall nicht so hoch sind, daß ich meine eigenen Skripte schreiben müßte. Das Tool ist sehr praktisch und kann dir, wenn du willst, aus den Regeln, die du im Ncurses-GUI erstellst, auch ein Skript bauen.

Okay, werde heut abend mal alles aufsetzen und mich dann melden.

Danke schon mal für die Hilfe

Was interessieren dich Netbios Scans?, Dass es sowas ueberhaupt noch gibt,unverschaemt.
Port 135-139 dichtmachen dann ist in Ordnung, da scannt nur jemand in der gleichen IP-Range nach Freigaben, fand ich auch mal ganz witzig, naja ungefaehr 2 Stunden, bis ich eine Doktorarbeit fand.
Gegen die Anfragen kannst du nichts machen, aber gegen die Folgen und deine Paranoia, die da heissen Update, Update und du wirst es erraten Update.
Auch ssh Anfragen sind ganz nett, einfach ignorieren und ordentlich Passworter vergeben und ordentlich meint Sicher und sicher meint nicht sowas wie "mausi Geheimnis und passwort ..."
Wie schont erwaehnt wurde sind rechner mit Dyndns oder fester IP bevorzugtes Ziel, da kann man morgen ohne Stress auch ran.
Gruss Stefan

Okay, Updates führe ich täglich aus, System ist soweit sicher (einloggen nur mit ssh-key möglich und den hab nur ich), iptables wird heut abend aufgesetzt und dann sollte ich hoffentlich etwas sicherer sein. Hab allerdings Samba-Freigaben. Könnte sich da theoretisch jemand per samba einloggen? Habe bisher von solchen Dingen nicht wirklich Ahnung. Gibts da vielleicht einen guten Link, auf dem man sich mal etwas in die Grundlagen einarbeiten kann?

Hm, schonmal von einer LiveCD chkrootkit und rkhunter laufen gelassen?

Samba Freigaben ohne Firewall, schon unter Windows war es saudoof soetwas zu tun, kein wunder dass da jemand vesucht auf die Freigaben zu connecten.

Einloggen weniger, aber alle deine daten lesen, wozu dann noch einloggen.

Einzige sicher Sache, Neuinstallieren dann Firewall und dann, und wirklich erst dann Internet. Ueber deine Daten Nen Viren und rootkitscan laufen lassen.

Gruss Stefan

Also: natürlich hab ich ne Firewall - ist im Router eingebaut. Und dort hab ich momentan ja auch kein Port-forwarding drin.
Hab auf jeden Fall einmal iptables installiert - und dafür vorher den Kernel umgebaut. Gibts vielleicht nen Link zu ner neueren Anleitung für iptables? Finde nur uralt-Tutorials. Und da scheint sich in der Syntax was geändert zu haben. Auf jeden Fall schaffe ich es nicht mehr, auf meine (eigentlich freigegebenen) Ports zuzugreifen.