Intrusion Detection & Prevention
Hallo Leute, ich hänge mit T-DSL rund um die Uhr am Internet und habe einen Eintrag bei dyndns.org. In letzter Zeit sehe ich des öfteren Brute-Force-Wörterbuch Attacken auf meinen SSH-Server. In /var/log/messages sieht das folgendermaßen aus: ... Jul 14 21:48:12 spacehawk sshd[10630]: Invalid user adm from ::ffff:212.58.192.29 Jul 14 21:48:13 spacehawk sshd[10632]: Invalid user adm from ::ffff:212.58.192.29 Jul 14 21:48:15 spacehawk sshd[10634]: Invalid user adm from ::ffff:212.58.192.29 Jul 14 21:48:16 spacehawk sshd[10636]: Invalid user adm from ::ffff:212.58.192.29 Jul 14 21:48:17 spacehawk sshd[10638]: Invalid user adm from ::ffff:212.58.192.29 Jul 14 21:48:18 spacehawk sshd[10640]: Invalid user adm from ::ffff:212.58.192.29 Jul 14 21:48:19 spacehawk sshd[10642]: Invalid user adm from ::ffff:212.58.192.29 Jul 14 21:48:20 spacehawk sshd[10644]: Invalid user adm from ::ffff:212.58.192.29 Jul 14 21:48:21 spacehawk sshd[10646]: Invalid user student from ::ffff:212.58.192.29 ... Jul 14 21:48:28 spacehawk sshd[10658]: Invalid user service from ::ffff:212.58.192.29 ... Jul 14 21:48:34 spacehawk sshd[10670]: Invalid user test from ::ffff:212.58.192.29 ... Jul 14 21:48:40 spacehawk sshd[10680]: Invalid user user from ::ffff:212.58.192.29 ... Jul 14 21:48:48 spacehawk sshd[10694]: Invalid user guest from ::ffff:212.58.192.29 ... Jul 14 21:48:56 spacehawk sshd[10708]: User mysql from 212.58.192.29 not allowed because not listed in AllowUsers ... usw. usw. Durch das Logfile könnte ich mich wahrscheinlich mehrere Tage scrollen. Obwohl ich mich noch relativ sicher fühle, da ich nicht glaube, dass es hier jem. speziell auf mich abgesehen hat, habe ich einige Fragen. 1. "from ::ffff:212.58.192.29" Das ist doch eine IPv6-Adresse, oder? Oder wofür steht das ::ffff: ? 2. Gibt's mit SUSE 9.3 irgendwelche Standardtools mit denen solche offensichtlichen Attacken blockiert werden können? Z.B. wäre es schön, wenn die Firewall nach sagen wir 20 fehlgeschlagen Login Versuchen (ssh) von der gleichen IP-Adresse, sämtliche weiteren Anfragen von der jeweiligen IP-Adresse für einen Tag von vornherein blockiert! Da gibt's doch bestimmt schon entsprechende Sicherheitssoftware in der Richtung, oder? Was sagen die Admins unter euch? 3. Irgendwelche Vorschläge bzw. Maßnahmen die ihr mir empfehlen könnt? Vielen Dank im Voraus, Jörg
Am Fr, den 15.07.2005 schrieb Jörg Hermsdorf um 0:52:
Hallo Leute, ich hänge mit T-DSL rund um die Uhr am Internet und habe einen Eintrag bei dyndns.org. In letzter Zeit sehe ich des öfteren Brute-Force-Wörterbuch Attacken auf meinen SSH-Server. In /var/log/messages sieht das folgendermaßen aus:
Lese mal folgenden Artikel auf <http://www.aumund.org/node/869>. Bye Michael -- Windows 9x is crash compatible with Windows 1.0, 2.x, and 3.x. ________________________________________________________________________ http://macbyte.info/ ICQ #151172379 http://dattuxi.de/
Hallo, was bei mir auch ganz gut klappt ist folgendes: 2 sshd's auf dem server installieren, einen für den Zugang von außen und einen für den Zugang vom internen Netz. Den sshd für den Zugang von außen so einstellen das er nur eine bestimmte Anzahl von gleichzeitigen Verbindungen akzeptiert (z.B. 3 von einer IP o.ä.), root komplett sperren und einen user-namen wählen auf den man nicht so leicht kommt. Zum Schluß das Ganze am besten noch in ein chroot packen und das chroot so einrichten, das absolut keine Befehle ausgeführt werden können. Wenn Du dann Zugriff auf das interne Netz oder diesen Rechner haben willst, dann brauchst du nur über Port-Forwarding auf den entsprechenden Rechner zuzugreifen (funktioniert bei mir einwandfrei). Und um es noch schwerer zu machen sollte man natürlich die im Artikel erwähnten Möglichkeiten auch noch in Betracht ziehen. Ach ja, und den sshd für den Zugang vom internen Netz einfach auf einen anderen Port legen,auf die interne IP binden und root-zugriff zulassen. Ich glaube das sollte reichen, oder?! Mit freundlichen Grüßen A.Gegner
Michael Raab <ml-lists@macbyte.info> schrieb am 15.07.2005 01:02:39:
Am Fr, den 15.07.2005 schrieb Jörg Hermsdorf um 0:52:
Hallo Leute, ich hänge mit T-DSL rund um die Uhr am Internet und habe einen Eintrag bei dyndns.org. In letzter Zeit sehe ich des öfteren Brute-Force-Wörterbuch
Attacken auf meinen SSH-Server. In /var/log/messages sieht das folgendermaßen aus:
Lese mal folgenden Artikel auf <http://www.aumund.org/node/869>.
Bye Michael
-- Windows 9x is crash compatible with Windows 1.0, 2.x, and 3.x. ________________________________________________________________________ http://macbyte.info/ ICQ #151172379 http://dattuxi.de/
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Michael Raab schrieb:
Lese mal folgenden Artikel auf <http://www.aumund.org/node/869>.
Bye Michael
Das ist ne coole Sache, das würde mir schon gefallen, aber bei meiner SuSE 9.2 und 9.3 zeigt das nicht wirklich Wirkung. :-( ReadYa Mike
Hallo Leute, ich hänge mit T-DSL rund um die Uhr am Internet und habe einen Eintrag bei dyndns.org. In letzter Zeit sehe ich des öfteren Brute-Force-Wörterbuch Attacken auf meinen SSH-Server. In /var/log/messages sieht das folgendermaßen aus:
Lese mal folgenden Artikel auf <http://www.aumund.org/node/869>.
Das ist genau das, was ich mir vorgestellt habe ;-) Mein Problem ist jetzt blos, dass die SuSEfirewall2 bisher immer ausreichend war und ich mich somit bisher nicht wirklich mit iptables beschäftigen musste... Ich würde die Regeln aus dem Artikel gerne setzen, jedoch will ich auch weiterhin die SuSEfirewall2 verwenden. Gibt es eine Möglichkeit, dass ich der SuSEfirewall2 noch paar zusätzliche Regeln mitgeben kann? Abgesehen davon wäre das ja wirklich mal ne sinnvolle Erweiterung für die SuSEfirewall2, ich werde dem Entwickler mal ne Mail schreiben... Cu Jörg
Hallo Jörg, /etc/sysconfig/scripts/SuSEfirewall2-custom ist der richtige Ort. Grüsse Max
-----Ursprüngliche Nachricht----- Von: Jörg Hermsdorf [mailto:yojoe@t-online.de] Gesendet: Freitag, 15. Juli 2005 12:39 An: suse-linux@suse.com Betreff: Re: Intrusion Detection & Prevention
Hallo Leute, ich hänge mit T-DSL rund um die Uhr am Internet und habe einen Eintrag bei dyndns.org. In letzter Zeit sehe ich des öfteren Brute-Force-Wörterbuch Attacken auf meinen SSH-Server. In /var/log/messages sieht das folgendermaßen aus:
Lese mal folgenden Artikel auf <http://www.aumund.org/node/869>.
Das ist genau das, was ich mir vorgestellt habe ;-) Mein Problem ist jetzt blos, dass die SuSEfirewall2 bisher immer ausreichend war und ich mich somit bisher nicht wirklich mit iptables beschäftigen musste... Ich würde die Regeln aus dem Artikel gerne setzen, jedoch will ich auch weiterhin die SuSEfirewall2 verwenden. Gibt es eine Möglichkeit, dass ich der SuSEfirewall2 noch paar zusätzliche Regeln mitgeben kann?
Abgesehen davon wäre das ja wirklich mal ne sinnvolle Erweiterung für die SuSEfirewall2, ich werde dem Entwickler mal ne Mail schreiben...
Cu Jörg
Hallo Jörg, hallo Leute, Am Freitag, 15. Juli 2005 00:52 schrieb Jörg Hermsdorf:
ich hänge mit T-DSL rund um die Uhr am Internet und habe einen Eintrag bei dyndns.org. In letzter Zeit sehe ich des öfteren Brute-Force-Wörterbuch Attacken auf meinen SSH-Server. In /var/log/messages sieht das folgendermaßen aus: ... Jul 14 21:48:12 spacehawk sshd[10630]: Invalid user adm from ::ffff:212.58.192.29 [...] 1. "from ::ffff:212.58.192.29" Das ist doch eine IPv6-Adresse, oder? Oder wofür steht das ::ffff: ?
Ich lese das immer als "die ffffolgende IPv4-Adresse:" ;-) Spaß beiseite: im Prinzip ist das Ganze eine IPv4-Adresse, nur mit etwas IPv6-Soße drauf.
2. Gibt's mit SUSE 9.3 irgendwelche Standardtools mit denen solche offensichtlichen Attacken blockiert werden können?
Es wurden ja schon ein paar Dinge vorgeschlagen. Ergänzend dazu der Hinweis, dass es auf suse-security auch eine Diskussion diesbezüglich gab: Subject: [suse-security] SSH attacks. (und zugehörige Antworten) Datum: Anfang Februar 2005
3. Irgendwelche Vorschläge bzw. Maßnahmen die ihr mir empfehlen könnt?
Ich erlaube auf dem von mir betreuten Server den SSH-Login nur mit SSH-Keys - und ich halte es für unwahrscheinlich, dass ein Angreifer den 1024bit-Key knackt. Siehe dazu: 9.7. Wie kann ich den Login ausschließlich mit SSH-Keys erlauben? http://suse-linux-faq.koehntopp.de/q/q-ssh-keyonly.html Root-Logins verbieten ist auch eine gute Idee - wegen des Backups kann ich mir das aber leider nicht erlauben. Immerhin habe ich den SSH-Key mit command="rsync ....." in der Verwendung eingeschränkt. Gegen die üblichen SSH-Attacken sollte es auch helfen, den sshd auf einem anderen Port (z. B. 2222) laufen zu lassen - die Scriptkiddies probieren meistens nur Port 22 ;-) Gegen ernsthafte, gezielte Angriffe hilft das allerdings wenig. Gruß Christian Boltz -- I want to point out that this list is "suse-security", not "spam-me- silly". Now, please explain how the fact that some program made for some linux distribution also works on some other linux distribution is related to anything security. You have 15 minutes. Do not write more than 300 words. [Mathias Homann in suse-security]
participants (7)
-
age@ifak-system.com -
Christian Boltz -
Holger Krull -
Jörg Hermsdorf -
Klein Michael -
Maximilian Steinbauer -
Michael Raab