Angriffversuch auf eigenen Rechner über ssh mit wechselnden Usern von einer IP
Hallo, Was kann ich eigentlich gegen solche Angreifer tun (s.u.) , gibt es eine einfache Möglichkeit so etwas zu blocken ? Oder wie sie die Rechtliche geschichte mit Anzeige usw. aus. Mit freundlichem Gruß Carl Tenschert # kurzer Auschnitt /var/log/message, waren deutlich mehr versuche.
Mar 3 18:07:22 linux sshd[25924]: Invalid user sales from 202.68.195.73
Mar 3 18:07:25 linux sshd[25926]: Invalid user shop from 202.68.195.73 Mar 3 18:07:27 linux sshd[25928]: Invalid user shop from 202.68.195.73 Mar 3 18:07:29 linux sshd[25930]: Invalid user shopping from 202.68.195.73 Mar 3 18:07:32 linux sshd[25932]: Invalid user shop from 202.68.195.73 Mar 3 18:07:34 linux sshd[25934]: Invalid user sales from 202.68.195.73 Mar 3 18:07:36 linux sshd[25936]: Invalid user printer from 202.68.195.73 Mar 3 18:07:43 linux sshd[25942]: Invalid user ircd from 202.68.195.73 Mar 3 18:07:46 linux sshd[25944]: Invalid user www from 202.68.195.73 Mar 3 18:07:48 linux sshd[25946]: Invalid user www-data from 202.68.195.73 Mar 3 18:07:50 linux sshd[25948]: Invalid user apache from 202.68.195.73 Mar 3 18:07:55 linux sshd[25952]: Invalid user golf from 202.68.195.73 Mar 3 18:08:16 linux sshd[25976]: Invalid user usa from 202.68.195.73 Mar 3 18:08:19 linux sshd[25978]: Invalid user musiq from 202.68.195.73 Mar 3 18:08:21 linux sshd[25980]: Invalid user helena from 202.68.195.73 Mar 3 18:08:23 linux sshd[25982]: Invalid user administrator from 202.68.195.73 Mar 3 18:08:26 linux sshd[25984]: Invalid user ROOT from 202.68.195.73 Mar 3 18:07:36 linux sshd[25936]: Invalid user printer from 202.68.195.73
Hallo, Am Montag 06 März 2006 09:27 schrieb Carl Tenschert:
Hallo,
Was kann ich eigentlich gegen solche Angreifer tun (s.u.) , gibt es eine einfache Möglichkeit so etwas zu blocken ?
Wenn Du kein ssh bruchst, dann aus damit, wenn doch, mußt Du vermutlich mit sowas leben. ;)
Oder wie sie die Rechtliche geschichte mit Anzeige usw. aus.
# kurzer Auschnitt /var/log/message, waren deutlich mehr versuche.
Mar 3 18:07:22 linux sshd[25924]: Invalid user sales from 202.68.195.73
ob es tatsächlich von der Adresse kam steht auf einem anderen Blatt, aber man kann sich doch mal schlau machen. mrichter@mriko:~> nslookup 202.68.195.73 Server: samba.priv.richter.privat.nacmr.com Address: 192.168.81.1 Name: rmforptr.21cn.com Address: 202.68.195.73 Und whois gibt Dir alle möglichen anderen Infos: mrichter@mriko:~> whois 21cn.com Whois Server Version 1.3 Domain names in the .com and .net domains can now be registered with many different competing registrars. Go to http://www.internic.net for detailed information. Domain Name: 21CN.COM Registrar: ONLINENIC, INC. Whois Server: whois.OnlineNIC.com Referral URL: http://www.OnlineNIC.com Name Server: DNS.21CN.COM Name Server: DNS.21CN.NET Status: REGISTRAR-LOCK Updated Date: 16-dec-2003 Creation Date: 08-feb-1999 Expiration Date: 08-feb-2007 [ ......... ] Registrant: 21cn corporation limited domainmanage@21cn.com +86.2085264358 21CN Corporation Limited 2F,NO.52 Liuyunwu street,Tiyu Rd,East,Tianhe,Guangzhou,China Guangzhou,Guangdong,CN 510620 Domain Name:21cn.com Record last updated at 2006-03-05 23:18:49 Record created on 1999/2/8 Record expired on 2010/2/8 Domain servers in listed order: dns.21cn.com dns.21cn.net Administrator: name: liuchang mail: domainmanage@21cn.com tel: +86.2085264358 org: 21CN Corporation Limited address: 2F,NO.52 Liuyunwu street,Tiyu Rd,East,Tianhe,Guangzhou,China city: Guangzhou ,province: Guangdong ,country: CN postcode: 510620 Technical Contactor: name: 21CN Corporation Limited mail: domainmanage@21cn.com tel: +86.2085264358 org: 21CN Corporation Limited address: 2F,NO.52 Liuyunwu street,Tiyu Rd,East,Tianhe,Guangzhou,China city: Guangzhou ,province: Guangdong ,country: CN postcode: 510620 Billing Contactor: name: liuchang mail: domainmanage@21cn.com tel: +86.2085264358 org: 21CN Corporation Limited address: 2F,NO.52 Liuyunwu street,Tiyu Rd,East,Tianhe,Guangzhou,China city: Guangzhou ,province: Guangdong ,country: CN postcode: 510620 Registration Service Provider: name: 21CN Corporation Limited tel: +86.2085264358 fax: +86.2085265827 web:http://www.21cn.com mrichter@mriko:~> -- +--[ Mirko Richter (RHCE) ]------------------------+ | Networks & Communicationsystems | | Ernst-Thaelmann-Str. 5, D-06774 Soellichau | | E-MAIL: mrichterBEInacmr.de www.nacmr.de | | Tel. +49/(0)34243/3369-50 \\\\ | | Fax. +49/(0)34243/3369-22/-28 (O O) | +-----------------------------------oOOo-(_)-oOOo--+ ps: mails an lists@nacmr.de landen im EDV-Müll ;) Meine Auktionen bei hood.de: http://www.hood.de/auktionen.cfm?accountID=474535
Was kann ich eigentlich gegen solche Angreifer tun (s.u.) , gibt es eine einfache Möglichkeit so etwas zu blocken ?
Das hier könntest du dir mal ansehen. Da dürften nur geringe Anpassungen vorzunehmen sein (ist ursprünglich für gentoo gedacht). http://gentoo-wiki.com/HOWTO_Protect_SSHD_with_Swatch SSH nicht auf Port 22 laufen zu lassen wäre mMn schonmal eine gute Idee. Grüße Dominik
Dominik Klein wrote:
Was kann ich eigentlich gegen solche Angreifer tun (s.u.) , gibt es eine einfache Möglichkeit so etwas zu blocken ? SSH nicht auf Port 22 laufen zu lassen wäre mMn schonmal eine gute Idee. Meiner Meinung nach auch die beste Idee
Ich habe SSH seit Jahren auf einem Highport... Hatte noch keinen einzigen versuchten Login - denn um den zu finden müsste einer zuerstmal einen kompletten Portscan durchführen, was Zeit kostet und auffällt. Ich hab hier auch mal was gelesen von einer iptables zeile die Versuche loggt und nach dem xten blockt - mit dem nachteil wenn du dich vertippst wirst du auch ausgeschlossen... Noch eine weitere Idee wäre NUR zertifikate zuzulassen, dann kannst du die versuchten logins getrost ignorieren Grüsse Matti
Am Montag, 6. März 2006 09:56 schrieb Matthias Keller:
Ich hab hier auch mal was gelesen von einer iptables zeile die Versuche loggt und nach dem xten blockt - mit dem nachteil wenn du dich vertippst wirst du auch ausgeschlossen...
Ich würde auch vorschlagen einen Highport zuverwenden... das hilft vorallem gegen die alltäglichen Script-Kiddie Angriffe schon mal sehr viel. Du kannst auch den SSHD bloß über die Externe Schnittstelle über einen Highport erreichbar machen, mittels SuSEfirewall2 (siehe Punkt 15 FW_REDIRECT). Außerdem gibt es eine ziemlich einfache Methode gegen die Brute-Force Angriffe: in '/etc/sysconfig/SuSEfirewall2' bei Punkt 25 FW_CUSTOMRULES="" auf FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom" ändern. Anschließend folgende Regeln in '/etc/sysconfig/scripts/SuSEfirewall2-custom' unter fw_custom_after_antispoofing() {...} einfügen: fw_custom_after_antispoofing() { iptables -A input_ext -p tcp --dport 22 -m recent --update --seconds 300 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_brute_force " iptables -A input_ext -p tcp --dport 22 -m recent --update --seconds 300 --hitcount 4 --rttl --name SSH -j DROP iptables -A input_ext -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT true } Anmerkung1: die 22 bei --dport ersetzt du durch deinen gewählten Highport. Anmerkung2: eigentlich könnte SUSE die Möglichkeit für diese Vorkehrung langsam mal standardmäßig in die SuSEfirewall2 aufnehmen... Dadurch werden nach 4 Verbindungsversuchen alle Anfragen von der jeweiligen IP-Adresse für 5 Minuten (300 Sekunden) gedroped. Verwendung von Zertifikaten anstelle von Passwords ist auch was feines, allerdings sollte man dann immer sein Zertifikat mit sich rumschleppen (USB-Stick oder so). Gruß, Jörg.
Hallo Jörg, Hallo Liste Danke für diesen Tip und sorry für die PM, dieser Tipp ging zwar nicht an mich, hilft aber trotzdem :-) Funktioniert sowas auch mit ftp und pop3 ? Gruß Carsten Jörg Hermsdorf schrieb:
Am Montag, 6. März 2006 09:56 schrieb Matthias Keller:
Ich hab hier auch mal was gelesen von einer iptables zeile die Versuche loggt und nach dem xten blockt - mit dem nachteil wenn du dich vertippst wirst du auch ausgeschlossen... in '/etc/sysconfig/SuSEfirewall2' bei Punkt 25 FW_CUSTOMRULES="" auf FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom" ändern. Anschließend folgende Regeln in '/etc/sysconfig/scripts/SuSEfirewall2-custom' unter fw_custom_after_antispoofing() {...} einfügen: fw_custom_after_antispoofing() { iptables -A input_ext -p tcp --dport 22 -m recent --update --seconds 300 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_brute_force " iptables -A input_ext -p tcp --dport 22 -m recent --update --seconds 300 --hitcount 4 --rttl --name SSH -j DROP iptables -A input_ext -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
true }
-- ------------------------------------------------------------------- | www.WUNSCHRADIO.de ist Deutschlands interaktivstes Webradio | | mit der groessten Musikwunschdatenbank der Welt. | | http://wunsch.wunschradio.de | |-----------------------------------------------------------------| |WUNSCHRADIO.de - mehr Abwechslung / 192 kbps Stereo-CD-Qualitaet!| -------------------------------------------------------------------
* Jörg Hermsdorf wrote on Mon, Mar 06, 2006 at 11:29 +0100:
fw_custom_after_antispoofing() { iptables -A input_ext -p tcp --dport 22 -m recent --update --seconds 300 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_brute_force " iptables -A input_ext -p tcp --dport 22 -m recent --update --seconds 300 --hitcount 4 --rttl --name SSH -j DROP iptables -A input_ext -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
true }
Anmerkung1: die 22 bei --dport ersetzt du durch deinen gewählten Highport. Anmerkung2: eigentlich könnte SUSE die Möglichkeit für diese Vorkehrung langsam mal standardmäßig in die SuSEfirewall2 aufnehmen...
Dadurch werden nach 4 Verbindungsversuchen alle Anfragen von der jeweiligen IP-Adresse für 5 Minuten (300 Sekunden) gedroped.
Nur die IPs oder doch eher der Port für alle IPs? Im zweiten Fall wäre es natürlich ärgerlich, wenn man dann selbst nicht raufkommt, wenn ein Probe läuft...
Verwendung von Zertifikaten anstelle von Passwords ist auch was feines, allerdings sollte man dann immer sein Zertifikat mit sich rumschleppen (USB-Stick oder so).
Zertifikate? SSH-Keys, ja? oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel.
Hallo,
blockieren kannst Du es nicht, aber ich hab das so "gelöst":
1. nur bestimmte User (außer root) zulassen
2. MaxAuthtries=3 erlaubt nur 3 gleichzeitige Authorisations-Versuche
(sowas verlangsamt den Angriff)
3. der eingeloggt User befindet sich hinterher in einem chroot mit rbash
als shell (es können nur ca 4 oder 5 Befehle ausgeführt werden, loging,
logout, exit ...) -> viel spaß dem Angreifer :-)
4. als root kann man sich dann über einen tunnel auf einen lokal laufenden
sshd einloggen
5. scp-subsystem auf dem externen sshd abschalten
Man kann wohl auch noch einiges über iptables machen, das hab ich aber
jetzt nicht im Kopf.
Man könnte den sshd noch mit einem Zertifikat absichern. Ich habe aber
(leider) die Erfahrung gemacht das das über weite Strecken ( mehr als
3000km) nicht zuverlässig funktioniert.
Falls es eine Möglichkeit zum dynamischen blocken einer IP gibt würde mich
sowas auch mal interessieren.
Wobei dann die Wahrscheinlichkeit besteht das man mal den falschen
blockt....
Carl Tenschert
Hallo,
Was kann ich eigentlich gegen solche Angreifer tun (s.u.) , gibt es eine einfache Möglichkeit so etwas zu blocken ?
Oder wie sie die Rechtliche geschichte mit Anzeige usw. aus.
Mit freundlichem Gruß
Carl Tenschert
# kurzer Auschnitt /var/log/message, waren deutlich mehr versuche.
Mar 3 18:07:22 linux sshd[25924]: Invalid user sales from 202.68.195.73
Mar 3 18:07:25 linux sshd[25926]: Invalid user shop from 202.68.195.73 Mar 3 18:07:27 linux sshd[25928]: Invalid user shop from 202.68.195.73 Mar 3 18:07:29 linux sshd[25930]: Invalid user shopping from 202.68.195.73 Mar 3 18:07:32 linux sshd[25932]: Invalid user shop from 202.68.195.73 Mar 3 18:07:34 linux sshd[25934]: Invalid user sales from 202.68.195.73 Mar 3 18:07:36 linux sshd[25936]: Invalid user printer from 202.68.195.73 Mar 3 18:07:43 linux sshd[25942]: Invalid user ircd from 202.68.195.73 Mar 3 18:07:46 linux sshd[25944]: Invalid user www from 202.68.195.73 Mar 3 18:07:48 linux sshd[25946]: Invalid user www-data from 202.68.195.73 Mar 3 18:07:50 linux sshd[25948]: Invalid user apache from 202.68.195.73 Mar 3 18:07:55 linux sshd[25952]: Invalid user golf from 202.68.195.73 Mar 3 18:08:16 linux sshd[25976]: Invalid user usa from 202.68.195.73 Mar 3 18:08:19 linux sshd[25978]: Invalid user musiq from 202.68.195.73 Mar 3 18:08:21 linux sshd[25980]: Invalid user helena from 202.68.195.73 Mar 3 18:08:23 linux sshd[25982]: Invalid user administrator from 202.68.195.73 Mar 3 18:08:26 linux sshd[25984]: Invalid user ROOT from 202.68.195.73 Mar 3 18:07:36 linux sshd[25936]: Invalid user printer from 202.68.195.73
Mit freundlichen Grüßen Andreas Gegner
Carl Tenschert schrieb:
Hallo,
Was kann ich eigentlich gegen solche Angreifer tun (s.u.) , gibt es eine einfache Möglichkeit so etwas zu blocken ?
Oder wie sie die Rechtliche geschichte mit Anzeige usw. aus.
Mit freundlichem Gruß
Carl Tenschert
# kurzer Auschnitt /var/log/message, waren deutlich mehr versuche.
Mar 3 18:07:22 linux sshd[25924]: Invalid user sales from 202.68.195.73
Mar 3 18:07:25 linux sshd[25926]: Invalid user shop from 202.68.195.73 Mar 3 18:07:27 linux sshd[25928]: Invalid user shop from 202.68.195.73 Mar 3 18:07:29 linux sshd[25930]: Invalid user shopping from 202.68.195.73 Mar 3 18:07:32 linux sshd[25932]: Invalid user shop from 202.68.195.73 Mar 3 18:07:34 linux sshd[25934]: Invalid user sales from 202.68.195.73 Mar 3 18:07:36 linux sshd[25936]: Invalid user printer from 202.68.195.73 Mar 3 18:07:43 linux sshd[25942]: Invalid user ircd from 202.68.195.73 Mar 3 18:07:46 linux sshd[25944]: Invalid user www from 202.68.195.73 Mar 3 18:07:48 linux sshd[25946]: Invalid user www-data from 202.68.195.73 Mar 3 18:07:50 linux sshd[25948]: Invalid user apache from 202.68.195.73 Mar 3 18:07:55 linux sshd[25952]: Invalid user golf from 202.68.195.73 Mar 3 18:08:16 linux sshd[25976]: Invalid user usa from 202.68.195.73 Mar 3 18:08:19 linux sshd[25978]: Invalid user musiq from 202.68.195.73 Mar 3 18:08:21 linux sshd[25980]: Invalid user helena from 202.68.195.73 Mar 3 18:08:23 linux sshd[25982]: Invalid user administrator from
202.68.195.73
Mar 3 18:08:26 linux sshd[25984]: Invalid user ROOT from 202.68.195.73 Mar 3 18:07:36 linux sshd[25936]: Invalid user printer from 202.68.195.73
Moin! Lass doch erst einmal zuur Sicherheit Nessus schauen, wie es um Dein Netz insgesamt bestellt ist. Dann würde ich Dir empfehlen mal auf www.computech.ch zu schauen . Dort wirst Du hinsichtlich Tools, etc, gewiss fündig. Auch gibt es, so hoffe ich, noch auf der Seite www.hakin9.org einige Artikel die Dir helfen können. Was hast Du denn überhaupt an Sicherheitstools bei Dir am laufen?Wäre nicht verkehrt, sofern Du welche einsetzt, dass Du die mal nebst Konfig postest! Gruß Niels
Send instant messages to your online friends http://au.messenger.yahoo.com
Ich nutze dafür fail2ban, da kann ich die IP für eine einstellbare Zeit über die firwall - Einstellungen blocken. Da geht dann auch ein Blocken der pop2 imap und apache auth. Carl Tenschert schrieb:
Hallo,
Was kann ich eigentlich gegen solche Angreifer tun (s.u.) , gibt es eine einfache Möglichkeit so etwas zu blocken ?
Oder wie sie die Rechtliche geschichte mit Anzeige usw. aus.
Mit freundlichem Gruß
Carl Tenschert
# kurzer Auschnitt /var/log/message, waren deutlich mehr versuche.
Mar 3 18:07:22 linux sshd[25924]: Invalid user sales from 202.68.195.73
Mar 3 18:07:25 linux sshd[25926]: Invalid user shop from 202.68.195.73 Mar 3 18:07:27 linux sshd[25928]: Invalid user shop from 202.68.195.73 Mar 3 18:07:29 linux sshd[25930]: Invalid user shopping from 202.68.195.73 Mar 3 18:07:32 linux sshd[25932]: Invalid user shop from 202.68.195.73 Mar 3 18:07:34 linux sshd[25934]: Invalid user sales from 202.68.195.73 Mar 3 18:07:36 linux sshd[25936]: Invalid user printer from 202.68.195.73 Mar 3 18:07:43 linux sshd[25942]: Invalid user ircd from 202.68.195.73 Mar 3 18:07:46 linux sshd[25944]: Invalid user www from 202.68.195.73 Mar 3 18:07:48 linux sshd[25946]: Invalid user www-data from 202.68.195.73 Mar 3 18:07:50 linux sshd[25948]: Invalid user apache from 202.68.195.73 Mar 3 18:07:55 linux sshd[25952]: Invalid user golf from 202.68.195.73 Mar 3 18:08:16 linux sshd[25976]: Invalid user usa from 202.68.195.73 Mar 3 18:08:19 linux sshd[25978]: Invalid user musiq from 202.68.195.73 Mar 3 18:08:21 linux sshd[25980]: Invalid user helena from 202.68.195.73 Mar 3 18:08:23 linux sshd[25982]: Invalid user administrator from
202.68.195.73
Mar 3 18:08:26 linux sshd[25984]: Invalid user ROOT from 202.68.195.73 Mar 3 18:07:36 linux sshd[25936]: Invalid user printer from 202.68.195.73
-- Mit freundlichen Grüßen Dipl.-Ing. Frank Jäschke T-Systems Business Services GmbH Systemspezialist Griesheimstraße 8, 06749 Bitterfeld +49 341 2529-2241 (Tel.) http://www.t-systems.com
Quoting Frank Jaeschke
Ich nutze dafür fail2ban, da kann ich die IP für eine einstellbare Zeit über die firwall - Einstellungen blocken.
Du meinst Du lieferst dem Angreifer gleich das Werkzeug für eine Instant DoS? PS: ist hier eigentlich neuerdings TOFU üblich? Drei Postings von drei Leuten geöffnet, 3x kaputtes bis unlesbares Quoting. -- Erhard Schwenk Akkordeonjugend Baden-Württemberg - http://www.akkordeonjugend.de APAYA running System - http://www.apaya.net
Quoting Carl Tenschert
Was kann ich eigentlich gegen solche Angreifer tun (s.u.)
Public Key Authentifizierung verwenden oder wenigstens sichere Passwörter, Zugang zum SSH-Port (22/TCP) auf die wirklich benötigten IP-Bereiche einschränken, SSH runterfahren wenn sie nicht gebraucht wird, root-Login per SSH komplett verbieten, nicht benötigte User-Accounts auch wirklich sperren/entsorgen. Theoretisch geht auch Port Knocking, aber das bringt letztlich weniger als eine Verlängerung des Passworts um 2 Zeichen, macht aber viel mehr Aufwand und erhöht die Komplexität (und damit zwangsläufig die Angriffsfläche). SSH auf nen anderen port zu legen wäre Security by Obscurity und würde höchstens das Logfile etwas entlasten, die Angriffsfläche an sich aber nicht beseitigen.
, gibt es eine einfache Möglichkeit so etwas zu blocken ?
Deine SSH blockt den Angriff ja bereits. Es war ja nun keiner der Anmeldeversuche erfolgreich. Was willst Du sonst noch?
Oder wie sie die Rechtliche geschichte mit Anzeige usw. aus.
Ignorieren, da kommt eh nix bei raus. Solange Deine Passwörter ordentlich sind oder Du Public Keys benutzt, kann der Angreifer ohnehin so gut wie nichts anrichten. -- Erhard Schwenk Akkordeonjugend Baden-Württemberg - http://www.akkordeonjugend.de APAYA running System - http://www.apaya.net
Carl Tenschert schrieb:
Hallo,
Was kann ich eigentlich gegen solche Angreifer tun (s.u.) , gibt es eine einfache Möglichkeit so etwas zu blocken ?
(...) In einigen Antworten wurde schon darauf hingewiesen, wie wichtig es ist, möglichst sichere Passwörter zu verwenden. Hier ist eine URL, unter der man die Stärke von Passwörtern prüfen kann: http://www.securitystats.com/tools/password.php Das wäre vielleicht schon mal ein Anhaltspunkt. Jürgen
In einigen Antworten wurde schon darauf hingewiesen, wie wichtig es ist, möglichst sichere Passwörter zu verwenden. Hier ist eine URL, unter der man die Stärke von Passwörtern prüfen kann:
Ah. Nachdem ich mein neues Passwort also zum Testen unverschlüsselt durchs Netz geschickt und auf einen Server geladen habe, wird es also immernoch als sicher erachtet? *g* Seltsame Ansicht mMn.
Muss ja nicht DASS Passwort sein, oder?
In einigen Antworten wurde schon darauf hingewiesen, wie wichtig es ist, möglichst sichere Passwörter zu verwenden. Hier ist eine URL, unter der man die Stärke von Passwörtern prüfen kann:
'Ah. Nachdem ich mein neues Passwort also zum Testen unverschlüsselt 'durchs Netz geschickt und auf einen Server geladen habe, wird es also 'immernoch als sicher erachtet? *g* ' 'Seltsame Ansicht mMn. '
Am 06.03.2006 12:04 schrieb Detlev von Glinski: [Seltsames Quoting] Sag mal, kann dein Outlook Express nicht quoten, oder hast du das Quoting verbockt? Oder soll das ein versuchter TOFU mit Fullquote sein? OJ -- Wise men don't need advice. Fools don't take it. (Benjamin Franklin)
Dominik Klein schrieb:
In einigen Antworten wurde schon darauf hingewiesen, wie wichtig es ist, möglichst sichere Passwörter zu verwenden. Hier ist eine URL, unter der man die Stärke von Passwörtern prüfen kann:
Ah. Nachdem ich mein neues Passwort also zum Testen unverschlüsselt durchs Netz geschickt und auf einen Server geladen habe, wird es also immernoch als sicher erachtet? *g*
Seltsame Ansicht mMn.
Zitat von der oben erwähnten Website: Please note that although we will not store the password you enter, it's never a good idea to send your password to someone you don't know. Instead, we recommend testing a password which is *similar* to one you might use. Ich kann dir das auch gern übersetzen: Bitte beachten Sie, dass wir zwar nicht das Passwort speichern, das Sie eingeben, dass es aber grundsätzlich keine gute Idee ist, Ihr Passwort jemandem zu schicken, den Sie nicht kennen. Wir empfehlen daher, ein Passwort zu testen, das jenem *ähnlich* ist, das Sie benutzen würden. Jürgen
Am Montag, 6. März 2006 11:37 schrieb Juergen Langowski:
Quatsch, warum soll "hund" viel besser als "rose" als PW sein? "a8fdc205a9f19cc1c7507a60c4f01b13d11d7fd0" wird auch nicht als so gut befunden, "AaBb1!" wird im Vergleich viel besser gewertet. Al
On Mon, Mar 06, 2006 at 09:27:11AM +0100, Carl Tenschert wrote:
gibt es eine einfache Möglichkeit so etwas zu blocken ?
rcssh stop;
Oder wie sie die Rechtliche geschichte mit Anzeige usw. aus.
Das kannst du probieren, es wird nur wahrscheinlich sehr schwer den Benutzer einer IP-Adresse im Ausland zu benutzen, bzw. diesen rechtlich zu belangen. Recherche Stichworte: Portknocking Peter
Hallo Carl Am Montag, 6. März 2006 09:27 schrieb Carl Tenschert:
Hallo,
Was kann ich eigentlich gegen solche Angreifer tun (s.u.) , gibt es eine einfache Möglichkeit so etwas zu blocken ? Du könntest mit DenyHosts die IP des Angreifers blocken.Nach einer bestimmten Anzahl von fehlgeschlagenen Logins wird die Adresse/IP des Angreifers geblockt und nach einer bestimmten Zeit wieder gelöscht, damit die Liste nicht irgendwann zu groß wird.Das Programm gibt es auch als RPM und Du findest es hier, sowie auch noch nähere Informationen dazu. http://denyhosts.sourceforge.net/
Oder wie sie die Rechtliche geschichte mit Anzeige usw. aus. Das wird wohl eher nichts bringen, da die Angreifer meist im Ausland sitzen und über diverse Rechner ihre Herkunft z.T. recht gut verschleiern.Oft außerdem über öffentliche Rechner wie z.B. Internetcafes o.ä., wo dann auch noch diverse Leute zu dem Rechner Zugang haben, etc, etc...
Mit freundlichem Gruß
Carl Tenschert
Gruß Thomas --- Vertrauet eurem Magistrat der fromm und liebend schützt den Staat Durch huldreich hochwohlweisen Walten; Euch ziemt es, stets das Maul zu halten.
participants (17)
-
age@ifak-system.com -
Al Bogner -
Carl Tenschert -
Carsten Henkel -
Detlev von Glinski -
Dominik Klein -
Erhard Schwenk -
Frank Jaeschke -
Johannes Kastl -
Juergen Langowski -
Jörg Hermsdorf -
Matthias Keller -
Mirko Richter -
niels jende -
Peter Wiersig -
Steffen Dettmer -
Thomas Becker