Hi

Wie schütze ich mich am besten vor solchen Attacken und/oder wo kann/soll ich die IP des Attackierenden melden? Ein Auszug aus dem /var/log/allmessages:

Feb 19 21:24:44 alster172 sshd[13882]: Invalid user helmut from ::ffff:212.56.13.118
Feb 19 21:24:48 alster172 sshd[13886]: Invalid user helmuth from ::ffff:212.56.13.118
Feb 19 21:24:49 alster172 sshd[13888]: Invalid user henry from ::ffff:212.56.13.118
Feb 19 21:24:49 alster172 sshd[13890]: Invalid user herb from ::ffff:212.56.13.118
Feb 19 21:24:50 alster172 sshd[13892]: Invalid user herbert from ::ffff:212.56.13.118
Feb 19 21:24:50 alster172 sshd[13894]: Invalid user herman from ::ffff:212.56.13.118
Feb 19 21:24:51 alster172 sshd[13896]: Invalid user imre from ::ffff:212.56.13.118
Feb 19 21:24:55 alster172 sshd[13898]: Invalid user jaegar from ::ffff:212.56.13.118
Feb 19 21:24:55 alster172 sshd[13900]: Invalid user jarvis from ::ffff:212.56.13.118
Feb 19 21:24:55 alster172 sshd[13902]: Invalid user jerry from ::ffff:212.56.13.118

Juerg

Den Port ändern auf dem der sshd lauscht /etc/ssh/sshd_config. Ob es Sinn macht das zu melden glaube ich kaum, aber man möge mich korrigieren, wenn das anders ist.

Such mal hier im Forum nach "Hintergrundrauschen".
Gibt bereits einige Threads zum Thema!

Greeez Oli

Wie schütze ich mich am besten vor solchen Attacken und
ssh sicher konfigurieren (kein Login/PW, nur keys) oder komplett abschalten, wenn nicht benötigt.

Port verlegen bringt keine Sicherheit, nur Ruhe im Logfile.


/oder wo kann/soll ich die IP des Attackierenden melden? Ein Auszug aus dem /var/log/allmessages:
www.ripe.net, Admin herausfinden und Mail schicken.

Erfolgsquote und Sinn bei Dial-In-IPs: Sei Epsilon > 0.

Wenn feste IP: Evtl. bekommst Du eine Webmaster-Adresse, an die Du Dich wenden kannst - evtl. macht auch der ISP etwas, je nach dem, um was es sich am anderen Ende handelt.

Port umlegen bringt in sofern was, als daß Du dann siehst, wenn wirklich jemand versucht Dich anzugreifen. :-)

Port verlegen bringt keine Sicherheit, nur Ruhe im Logfile.

Das lese ich immer wieder, ist aber meiner Meinung nicht richtig.

Beispiel:
Ich lasse meinen ssh-server auf Port 12345 laufen
Am Montag 09:00 Uhr kommt ein Exploit raus, der es ermöglicht ohne Kennwort als root zu connecten.
Um 11:00 Uhr gibt es das erste Kiddie-Programm, was einen IP-Bereich nach verwundbaren SSH-Servern scant.
12:00 Uhr, ein Kiddie scant den IP-Bereich meines ISP und schickt jedem verwundbarem System ein "rm -rf /"
13:00 Uhr, alle Platt, bis auf meiner, da dieses Tool meinen SSH-Server nicht "gefunden" hat.
13:01 Uhr Ich spiele den entsprechenden Patch ein, fertig...

Ich habe also durch das Nutzen eines anderen Ports Zeit gewonnen zu reagieren. Und genau das erhöht nunmal auch die Sicherheit. Nicht die Sicherheit des SSH-Servers selber, wenn es einer drauf anlegt, "findet" er meinen Port. Es kostet aber Zeit und die meisten Tools sind erstmal darauf ausgelegt die Standardports zu scannen. Ich habe also die allgemeine Sicherheit des Systems erhöht, wenn auch nur in einem geringen Maße.

Es erhöht die Zeit, bis der Port gefunden wird, ja. Aber Du bist ebenso verwundbar wie unter dem Standardport.

Security by Obscurity ist keine Lösung, es wiegt die Leute nur in falscher Sicherheit.

Das Stimme ich drcux voll und ganz zu!


Greeez Oli

Security by Obscurity ist keine Lösung, es wiegt die Leute nur in falscher Sicherheit.

Ich habe auch nicht gesagt, das es eine Lösung ist, es ist nur ein "Zusatzmittel". Wer das nicht begreift, sollte keine Server administrieren. ;)

Klar. Ich begreife es ja auch :-)

Ich verwende es aber eben auch nur als Zusatzmittel, aber ich sage deswegen nicht, dass meine Server sicherer wären - weil das auch meiner Sicht nicht stimmt.

Naja, es ist wohl die Frage wie man "IT-Sicherheit" definiert. ;)

ich wuerde dir fail2ban empfehlen. nettes kleines tool, welches per iptables nach von dir festgelegten regeln die 'angreifer' blockt!! hoffe es hilft. :)
http://www.fail2ban.org/wiki/index.php/Main_Page

ist aber kein Allheilmittel.

http://www.ossec.net/en/attacking-loganalysis.html

das natuerlich nicht! aber es ist auf jedenfall eine kleine huerde mehr. den standard port auch noch verlegt, schon sollte er nimmer so leicht 'gefunden' werden.. *g*

ausserdem sind automatische Aktionen auf solche Dinge immer bedenklich - das kann schnell in einen selbstverschuldeten DOS laufen.

Gefakte AbsendeIP, ein kleines Script und der Server horcht nur noch auf 127.0.0.1 :-)