PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Mongolensturm auf meine Secureshell.


Annika75
07.10.09, 08:00
Hallo Leutz,

ich betreue ein kleines CMS im Internet.

Es hat nicht lange gedauert, da hatte ich pro Tag viele hundert Loginversuche auf der secureshell. Die verschiedenen Angreifer kommen alle aus Asien, Russland etc.

Ich habe dann den Port verlegt und den Zugang für Root verboten. Außerdem mache ich Updates auf den ssh-Server und das CMS.

Nach der Portverlegung war das Problem kurzzeitig gelöst. Jetzt steigt die Zahl der Angriffe wieder.

What else can I do?

Annika75
marce
07.10.09, 08:17
Zugriff nur per Key. Alles andere kannst Du nicht verhindern.
Iluminat23
07.10.09, 08:34
dazu gabs gerade erst ein artikel auf pro-linux: http://www.pro-linux.de/news/2009/14777.html

gruß iluminat23
hessijens
07.10.09, 09:21
Sind es immer die gleichen IP-Adressen? Dann gäbe es noch die Möglichkeit mittels Firewall die IP-Adresse bei mehr als X Versuchen für eine Zeit Z zu sperren.

In etwa so:

iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j LOG --log-prefix SSH_brute_force
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 1200 --hitcount 3 --rttl --name SSH -j DROP


Dies erlaubt maximal 2 Versuche von der gleichen IP-Adresse innerhalb von 1 Minute, dann wird die IP Adresse für 20 Minuten gesperrt. Werte beliebig anpassbar.

Beachte aber, das eine erfolgreiche Anmeldung auch ein Versuch ist.
gropiuskalle
07.10.09, 09:26
Angreifer-IP sperren, z.B. mit fail2ban (sehr hübsch konfigurierbares Progrämmchen).
derRichard
07.10.09, 11:18
hi!

wie bereits oben erwähnt, das _einzige_ wirkungsvolle ist das verwenden vom keys anstatt passworten.

iptables, fail2ban, denyhosts und was es noch alles gibt bringt gegen brute force aus einem bot-netz genau gar nichts.

//richard
Annika75
07.10.09, 11:35
Das mit dem key habe ich schonmal im Zusammenhang mit Nagios gemacht. Nur übel, wenn der key verlorengeht;-) Trotzdem versuch ich's mal. Dank an alle.
muell200
07.10.09, 11:38
Das mit dem key habe ich schonmal im Zusammenhang mit Nagios gemacht. Nur übel, wenn der key verlorengeht;-) Trotzdem versuch ich's mal. Dank an alle.

sorry fuer mein posting...

aber das ist einfach ein geiler titel:
Mongolensturm auf meine Secureshell.

kommt in meine best-of sammlung.. :)