Angriffe auf ssh normal?
Hi, ich habe 2 VServer in Deutschland bei einem Hoster, einer noch OS 10.3, der andere 11.1. Beide sind seit gestern nachmittag mit einer Flut von ssh-login-Versuchen überschwemmt worden, so etwa im 3-Sekunden-Takt. Glücklicherweise erfolglos ;-) Die Quellrechner stehen in Shanghai & Co.... Ist das normal? Habt Ihr sowas auch? Ist mir in früheren logs nicht aufgefallen. SSH brauche ich natürlich, aber sollte ich vielleicht in der Firewall gleich mal ein paar IP-Bereiche blocken, gibts da vielleicht eine Empfehlung, welche das sein könnten? cu jth -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Jörg, Joerg Thuemmler schrieb:
Hi,
ich habe 2 VServer in Deutschland bei einem Hoster, einer noch OS 10.3, der andere 11.1. Beide sind seit gestern nachmittag mit einer Flut von ssh-login-Versuchen überschwemmt worden, so etwa im 3-Sekunden-Takt. Glücklicherweise erfolglos ;-)
Ja, nichts neues.
Die Quellrechner stehen in Shanghai & Co....
K.a. was die immer auf den IP's rumhacken...
Ist das normal? Habt Ihr sowas auch? Ist leider, leider, leider normal. Ich habe auch einen VServer und habe mittlerweile den SSH-Port verlegt. Jetzt ist Ruhe! Hauptsache Du hast Passwort-Login deaktiviert, aber davon gehe ich mal aus. Ist mir in früheren logs nicht aufgefallen.
Das kommt immer so in Wellen.
SSH brauche ich natürlich, aber sollte ich vielleicht in der Firewall gleich mal ein paar IP-Bereiche blocken, gibts da vielleicht eine Empfehlung, welche das sein könnten? Damit wäre ich sehr vorsichtig, dass Du nicht aus Versehen erwünschte User blockst. Da gab es schon mal einen Thread hier, oder in der Ubuntu Mailingliste.
Ansonsten... sowas wie fail2ban & Co, aber auch damit kann man sich schnell mal ausperren... -- Gruß Axel ------------------------------ => einen Server härten? google mal nach Stahl härten oder was meinst Du mit härten? Aus: http://www.administrator.de/index.php?content=69906 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Moin moin, Am 16.04.2010 08:02, schrieb Joerg Thuemmler:
Hi,
ich habe 2 VServer in Deutschland bei einem Hoster, einer noch OS 10.3, der andere 11.1. Beide sind seit gestern nachmittag mit einer Flut von ssh-login-Versuchen überschwemmt worden, so etwa im 3-Sekunden-Takt. Glücklicherweise erfolglos ;-)
Die Quellrechner stehen in Shanghai & Co....
Ist das normal? Habt Ihr sowas auch? Ist mir in früheren logs nicht aufgefallen.
Ja das ist ganz normal, genauso wie die Apache 'Angriffe', die kommen auf meinen Server täglich fast, immer zur selben Zeit. Man kann schon fast die Uhr danach stellen.
SSH brauche ich natürlich, aber sollte ich vielleicht in der Firewall gleich mal ein paar IP-Bereiche blocken, gibts da vielleicht eine Empfehlung, welche das sein könnten?
Schau Dir mal Fail2Ban an, damit kannst Du gezielt Dienst temprär für bestimmte Host IP's sperren, solls nur ssh sein tut's auch DenyHosts. Generell würd ich aber empfehlen den Login Mechanismus im ssh zu deaktivieren und alles auf Publickey's umstellen und die AllowedUsers pflegen.
cu jth
mfg max -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 16.04.2010, Joerg Thuemmler wrote:
Ist das normal? Habt Ihr sowas auch?
Ein doppeltes JA.
SSH brauche ich natürlich, aber sollte ich vielleicht in der Firewall gleich mal ein paar IP-Bereiche blocken, gibts da vielleicht eine Empfehlung, welche das sein könnten?
Das ist unnoetige Muehe. Wenn dein Zugang ordentlich gesichert ist (v.a. ausreichend starkes Passwort, bzw. und/oder Login ausschliesslich via Key), dann ignorier' doch einfach die rote Flut.. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Heinz Diehl schrieb:
On 16.04.2010, Joerg Thuemmler wrote:
Ist das normal? Habt Ihr sowas auch?
Ein doppeltes JA.
SSH brauche ich natürlich, aber sollte ich vielleicht in der Firewall gleich mal ein paar IP-Bereiche blocken, gibts da vielleicht eine Empfehlung, welche das sein könnten?
Das ist unnoetige Muehe. Wenn dein Zugang ordentlich gesichert ist (v.a. ausreichend starkes Passwort, bzw. und/oder Login ausschliesslich via Key), dann ignorier' doch einfach die rote Flut..
Hi, OK, danke, ich weiß also, dass ich nicht alleine bin. Weiß gar nicht, wieso ich davon bislang verschont war ;-) Ich werd mich ein bißchen umtun, aber keinen Streß machen. Danke für alle Hinweise dazu. cu jth -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 16.04.2010 08:55, schrieb Joerg Thuemmler:
OK, danke, ich weiß also, dass ich nicht alleine bin. Weiß gar nicht, wieso ich davon bislang verschont war ;-)
Ich werd mich ein bißchen umtun, aber keinen Streß machen. Danke für alle Hinweise dazu.
Was auch die meisten 0815 Scripte aushebelt ist, den ssh Port zu verlegen, das checken die meisten nicht, naja diese Maßnahme ist allerdings eher eine kosmetische für die Logfiles und im Ernstfall nicht wirklich wirksam. mfg max
cu jth
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 16.04.2010 08:02, schrieb Joerg Thuemmler:
Hi,
ich habe 2 VServer in Deutschland bei einem Hoster, einer noch OS 10.3, der andere 11.1. Beide sind seit gestern nachmittag mit einer Flut von ssh-login-Versuchen überschwemmt worden, so etwa im 3-Sekunden-Takt. Glücklicherweise erfolglos ;-)
Die Quellrechner stehen in Shanghai & Co....
Ist das normal? Habt Ihr sowas auch? Ist mir in früheren logs nicht aufgefallen.
SSH brauche ich natürlich, aber sollte ich vielleicht in der Firewall gleich mal ein paar IP-Bereiche blocken, gibts da vielleicht eine Empfehlung, welche das sein könnten?
cu jth
Hi Joerg, wie Du von mehreren Antworten bereits gelesen hast sind Angriffe heutzutage (leider) wirklich schon normal. "Starke" Passwörter und gut durchdachte firewall Regeln sind aber ein sehr sehr gutes Mittel. Allerdings eine kleine Geschichte dazu (an alle Interessierten hier in der Liste): Einigen von Euch ist sicher "asterisk" ein Begriff. Letzte Woche gab es sehr sehr massive Angriffe auf viel Asterisk server weltweit. Die IP Quelle war ein virtueller Rechner in einer "Amazon Computing Cloud". Die Angreifer software hat massiv "registers" an die server geschickt um Eingänge zu finden (um danach evtl. gratis telefonieren zu können). (Brute force attack). So weit halb so schlimm, denn das lässt sich alleine mit guten passwörtern schon sehr gut verhindern. Weiters war auch bald eine einfache iptables Regel zur hand, die Pakete von den entsprechenden IP Adressbereichen einfach weg warf. Der Nebeneffekt ist meiner Meinung nach allerdings nicht zu unterschätzen: Der Angreifer schickte z.B. auf meinen server in 1:24 Minuten (!) 14.000 register requests. Und in einer 2. Welle in ca. 4 Minuten 66.000 registers. Von anderen Leuten hab ich gelesen dass die Angriffe stundenlang in voller Intensität liefen. Gut, die firewall wirft die Pakete einfach weg und so passiert nichts. Aber stellt Euch vor, Ihr betreibt einen server (und ich meine nicht unbedingt aslterisk, sondern irgend einen Rechner der am Netz hängt). Habt eine halbwegs schnelle DSL verbindung aber ein monatliches Datenlimit. Oder eine Flat-rate bei der im Kleingedruckten etwas von "fair use" steht. Der Angreifer frisst das Datenlimit weg, so schnell könnt Ihr gar nicht schauen weil auch Pakete die nur in eine Richtung gehen und nicht beantwortet werden zählen zum Datenvolumen. Und Ihr könnt absolut nichts dagegen tun, außer den Stecker ziehen. (Soferne Ihr es überhaupt rechtzeitig merkt). Das finde ich wirklich bedenklich. Weil damit kann es für den Angegriffenen teuer werden obwohl er unschuldig ist. Grüße, Norbert -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 16.04.2010, Norbert Zawodsky wrote:
Aber stellt Euch vor, Ihr betreibt einen server (und ich meine nicht unbedingt aslterisk, sondern irgend einen Rechner der am Netz hängt). Habt eine halbwegs schnelle DSL verbindung aber ein monatliches Datenlimit.
Gibt es tatsaechlich noch solche Vertraege, die ein Limit haben? Frage nur sicherheitshalber, weil ich die deutschen Verhaeltnisse schon lange nicht mehr aus erster Hand kenne.
Der Angreifer frisst das Datenlimit weg, so schnell könnt Ihr gar nicht schauen weil auch Pakete die nur in eine Richtung gehen und nicht beantwortet werden zählen zum Datenvolumen. Und Ihr könnt absolut nichts dagegen tun, außer den Stecker ziehen. (Soferne Ihr es überhaupt rechtzeitig merkt).
Und das arme Schwein das dann deine IP bei der naechsten Einwahl bekommt hat dann das gleiche Problem.. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (5)
-
Axel Birndt -
Heinz Diehl -
Joerg Thuemmler -
Markus Heinze -
Norbert Zawodsky