Mailinglist Archive: opensuse-de (1765 mails)

< Previous Next >
Re: Angriffversuch auf eigenen Rechner über ssh mit wechselnden Usern von einer IP
  • From: age@xxxxxxxxxxxxxxx
  • Date: Mon, 6 Mar 2006 09:51:03 +0100
  • Message-id: <OFE686A4AF.8F04F688-ONC1257129.002FC610-C1257129.00309EE4@xxxxxxxxxxxxxxx>
Hallo,

blockieren kannst Du es nicht, aber ich hab das so "gelöst":

1. nur bestimmte User (außer root) zulassen
2. MaxAuthtries=3 erlaubt nur 3 gleichzeitige Authorisations-Versuche
(sowas verlangsamt den Angriff)
3. der eingeloggt User befindet sich hinterher in einem chroot mit rbash
als shell (es können nur ca 4 oder 5 Befehle ausgeführt werden, loging,
logout, exit ...) -> viel spaß dem Angreifer :-)
4. als root kann man sich dann über einen tunnel auf einen lokal laufenden
sshd einloggen
5. scp-subsystem auf dem externen sshd abschalten

Man kann wohl auch noch einiges über iptables machen, das hab ich aber
jetzt nicht im Kopf.

Man könnte den sshd noch mit einem Zertifikat absichern. Ich habe aber
(leider) die Erfahrung gemacht das das über weite Strecken ( mehr als
3000km) nicht zuverlässig funktioniert.

Falls es eine Möglichkeit zum dynamischen blocken einer IP gibt würde mich
sowas auch mal interessieren.
Wobei dann die Wahrscheinlichkeit besteht das man mal den falschen
blockt....


Carl Tenschert <cat@xxxxxxxxxxxxx> schrieb am 06.03.2006 09:27:11:

> Hallo,
>
>
> Was kann ich eigentlich gegen solche Angreifer tun (s.u.) , gibt es eine
> einfache Möglichkeit so etwas zu blocken ?
>
>
> Oder wie sie die Rechtliche geschichte mit Anzeige usw. aus.
>
>
> Mit freundlichem Gruß
>
> Carl Tenschert
>
>
> # kurzer Auschnitt /var/log/message, waren deutlich mehr versuche.
>
>
> >Mar 3 18:07:22 linux sshd[25924]: Invalid user sales from 202.68.195.73
>
> >Mar 3 18:07:25 linux sshd[25926]: Invalid user shop from 202.68.195.73
> >Mar 3 18:07:27 linux sshd[25928]: Invalid user shop from 202.68.195.73
> >Mar 3 18:07:29 linux sshd[25930]: Invalid user shopping from
202.68.195.73
> >Mar 3 18:07:32 linux sshd[25932]: Invalid user shop from 202.68.195.73
> >Mar 3 18:07:34 linux sshd[25934]: Invalid user sales from 202.68.195.73
> >Mar 3 18:07:36 linux sshd[25936]: Invalid user printer from
202.68.195.73
> >Mar 3 18:07:43 linux sshd[25942]: Invalid user ircd from 202.68.195.73
> >Mar 3 18:07:46 linux sshd[25944]: Invalid user www from 202.68.195.73
> >Mar 3 18:07:48 linux sshd[25946]: Invalid user www-data from
202.68.195.73
> >Mar 3 18:07:50 linux sshd[25948]: Invalid user apache from
202.68.195.73
> >Mar 3 18:07:55 linux sshd[25952]: Invalid user golf from 202.68.195.73
> >Mar 3 18:08:16 linux sshd[25976]: Invalid user usa from 202.68.195.73
> >Mar 3 18:08:19 linux sshd[25978]: Invalid user musiq from 202.68.195.73
> >Mar 3 18:08:21 linux sshd[25980]: Invalid user helena from
202.68.195.73
> >Mar 3 18:08:23 linux sshd[25982]: Invalid user administrator from
> 202.68.195.73
> >Mar 3 18:08:26 linux sshd[25984]: Invalid user ROOT from 202.68.195.73
> >Mar 3 18:07:36 linux sshd[25936]: Invalid user printer from
202.68.195.73
>
>


Mit freundlichen Grüßen

Andreas Gegner


< Previous Next >
References