Hallo Liste! In letzter Zeit fallen mir auf meiner Box immer wieder folgende Eintraege im /var/log/messages auf: Nov 8 17:46:02 myhost sshd[4735]: Illegal user www from ::ffff:210.233.67.132 Nov 8 17:46:02 myhost sshd[4735]: input_userauth_request: illegal user www Nov 8 17:46:02 myhost sshd[4735]: Failed password for illegal user www from ::ffff:210.233.67.132 port 60258 ssh2 Nov 8 17:46:02 myhost sshd[4735]: Received disconnect from ::ffff:210.233.67.132: 11: Bye Bye Nov 8 17:46:05 myhost sshd[4750]: Failed password for wwwrun from ::ffff:210.233.67.132 port 60299 ssh2 Nov 8 17:46:05 myhost sshd[4750]: Received disconnect from ::ffff:210.233.67.132: 11: Bye Bye Nov 8 17:46:07 myhost sshd[4751]: Illegal user matt from ::ffff:210.233.67.132 Nov 8 17:46:07 myhost sshd[4751]: input_userauth_request: illegal user matt Nov 8 17:46:07 myhost sshd[4751]: Failed password for illegal user matt from ::ffff:210.233.67.132 port 60342 ssh2 Nov 8 17:46:07 myhost sshd[4751]: Received disconnect from ::ffff:210.233.67.132: 11: Bye Bye Nov 8 17:46:09 myhost sshd[4752]: Illegal user test from ::ffff:210.233.67.132 Da ist wohl ein Script Kid am "Start". Was gibt es für mittel gegen solche "Angriffe"? Ich benoetige den Port 22/SSH. D.h. SSH deaktivieren ist keine Option. SSH auf einen anderen Port legen, ist eine Option aber nicht schoen! Mit einem Port Scan waere der neue Port ja auch sichtbar. Hat jemand einen kreativen Tip? Was habe ich bereits gemacht? SSHD ist up to date! Alle unoetigen User geloescht,andere die keinen Login benoetigen (Mail User) habe ich die /bin/false in der /etc/passwd gegeben. Da hätte ich gleich noch eine Frage: Welchen System Benutzer benoetigen den ueberhaupt eine Shell? at, bin, daemon,sshd, nobody (updatdb),stunnel Einen Ansatz hatte ich bereits. Die Wartezeit nach einem Illegal User oder Bad Password von 3 Sekunden auf 15 Sekunden erhoehen. Mit /etc/login.defs und # # Delay in seconds before being allowed another attempt after a login failure # FAIL_DELAY 15 geht das wohl nicht. Wo kann man den Delay editieren? Gruß -Walter P.s. Der Angriff kommt mindestens 3-4 mal am Tag und in kurzer Zeit (1 Min) werden 20-30 User getestet! ---------------------------------------------------------------- Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorized copying, disclosure or distribution of the material in this e-mail is strictly forbidden.
Hi! Walter wrote:
In letzter Zeit fallen mir auf meiner Box immer wieder folgende Eintraege im /var/log/messages auf:
Da ist wohl ein Script Kid am "Start". Was gibt es für mittel gegen solche "Angriffe"?
sichere passwoerter? keinen root login verwenden? sicherheitsupdates einspielen? netzwerkkabel entfernen?
Da hätte ich gleich noch eine Frage: Welchen System Benutzer benoetigen den ueberhaupt eine Shell? at, bin, daemon,sshd, nobody (updatdb),stunnel
IMHO eigentlich keiner. ausser root...
Einen Ansatz hatte ich bereits. Die Wartezeit nach einem Illegal User oder Bad Password von 3 Sekunden auf 15 Sekunden erhoehen. Mit /etc/login.defs und
zusaetzlich eventuell alle benutzer nach 3 falschen logins fuer 3 stunden sperren. wirkt wunder ;-)
P.s. Der Angriff kommt mindestens 3-4 mal am Tag und in kurzer Zeit (1 Min) werden 20-30 User getestet!
das ist leider ueblich. du koenntest nach zwei loginversuchen auch die internetverbindnung trennen und neu aufbauen. das verwirrt auch ganz schoen ;-) ciao T
Walter schrieb am 11/09/2004 10:18 AM:
In letzter Zeit fallen mir auf meiner Box immer wieder folgende Eintraege im /var/log/messages auf:
[...]
Da ist wohl ein Script Kid am "Start". Was gibt es für mittel gegen solche "Angriffe"?
Verschiedene. Der beste Schutz sind sichere Paßwörter für alle User, unter Umständen kannst Du für bestimmte User den Login via ssh verbieten und/oder die Login-Shell auf /bin/false setzen, oder Du schränkst den Zugriff auf den Port mittels iptables auf bestimmte IP-Bereiche ein, die Zugriff benötigen. Eine andere Möglichkeit wurde vor einiger Zeit mal in der c't beschrieben; sie beruht darauf, daß man erst mit speziellen Paketen "anklopft" und daraufhin der sshd startet - kennt man nicht die genaue Sequenz, ist der Port einfach dicht. Vielleicht hat jemand anders dazu das passende Stichwort parat...
Ich benoetige den Port 22/SSH. D.h. SSH deaktivieren ist keine Option. SSH auf einen anderen Port legen, ist eine Option aber nicht schoen!
Das erspart Dir aber auf jeden Fall diese lästigen Versuche per Skript. Ein Sicherheitsgewinn ist das nicht, wie Du schon schreibst reicht ja schon ein Portscan - aber ich habe nach der Änderung des Ports die Erfahrung gemacht, daß die Anzahl der Versuche von einigen hundert pro Tag auf genau 0 gesunken ist - und das seit einigen Monaten.
---------------------------------------------------------------- Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.
This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorized copying, disclosure or distribution of the material in this e-mail is strictly forbidden.
Über Sinn und Unsinn solcher Disclaimer läßt sich streiten, ich finde sie überflüssig, sinnlos und störend. MfG, Michael.
Michael Schachtebeck, Dienstag, 9. November 2004 11:01:
Eine andere Möglichkeit wurde vor einiger Zeit mal in der c't beschrieben; sie beruht darauf, daß man erst mit speziellen Paketen "anklopft" und daraufhin der sshd startet - kennt man nicht die genaue Sequenz, ist der Port einfach dicht. Vielleicht hat jemand anders dazu das passende Stichwort parat...
Diesen Artikel hab ich gelesen. Allerdings ist mir nicht klar, was das bringen soll. Wenn man nicht die genaue Sequenz kennt, dann kommt man nicht an den sshd dran, klar. Aber das Nichtkennen der genauen Passwortsequenz führt ebenfalls dazu, daß man nicht durch den sshd durchkommt. Ich könnte doch also zB das Paßwort um die "Anklopfsequenz" erweitern (zB: meinpasswort-anklopfsequenz), und ich bin genauso sicher, spare mir aber das Gepfriemel mit dem Anklopfen.
Über Sinn und Unsinn solcher Disclaimer läßt sich streiten, ich finde sie überflüssig, sinnlos und störend.
ACK. -- Antworten an lists@feile.net werden in /dev/null archiviert! Bitte ggf. lists... durch mail... ersetzen. Andreas Feile www.feile.net
Am Di, den 09.11.2004 schrieb Andreas Feile um 11:24:
Michael Schachtebeck, Dienstag, 9. November 2004 11:01:
Eine andere Möglichkeit wurde vor einiger Zeit mal in der c't beschrieben; sie beruht darauf, daß man erst mit speziellen Paketen "anklopft" und daraufhin der sshd startet - kennt man nicht die genaue Sequenz, ist der Port einfach dicht. Vielleicht hat jemand anders dazu das passende Stichwort parat...
Diesen Artikel hab ich gelesen. Allerdings ist mir nicht klar, was das bringen soll. Wenn man nicht die genaue Sequenz kennt, dann kommt man nicht an den sshd dran, klar. Aber das Nichtkennen der genauen Passwortsequenz führt ebenfalls dazu, daß man nicht durch den sshd durchkommt. Ich könnte doch also zB das Paßwort um die "Anklopfsequenz" erweitern (zB: meinpasswort-anklopfsequenz), und ich bin genauso sicher, spare mir aber das Gepfriemel mit dem Anklopfen.
So lauscht der SSHD die ganze Zeit und wartet auf eine Verbindung. Wird jetzt ein Sicherheitsloch entdeckt, so kann dieses ggf. direkt ausgenutzt werden. Hast du den SSHD oder andere Dienste mittels Portknocking gesichert so werden diese nur gestartet wenn die entsprechende Portknock Sequenz Empfangen wurde. Ein direkter Angriff kann so also nicht stattfinden. Gruß Daniel -- Daniel Hanke Linux/Unix Systemadministrator, RHCE windream GmbH - Wasserstrasse 219 - 44799 Bochum Telefon +49 234 9734 0 - Telefax +49 234 9734 520 http://www.windream.com
Andreas Feile schrieb am 11/09/2004 11:24 AM:
Diesen Artikel hab ich gelesen. Allerdings ist mir nicht klar, was das bringen soll. Wenn man nicht die genaue Sequenz kennt, dann kommt man nicht an den sshd dran, klar. Aber das Nichtkennen der genauen Passwortsequenz führt ebenfalls dazu, daß man nicht durch den sshd durchkommt. Ich könnte doch also zB das Paßwort um die "Anklopfsequenz" erweitern (zB: meinpasswort-anklopfsequenz), und ich bin genauso sicher, spare mir aber das Gepfriemel mit dem Anklopfen.
Nicht ganz. Es kann ja sein, daß aus irgendeinem Grund ein Login mit schwachem Paßwort auf dem Rechner exisitert, z. B. ein Systembenutzer, der mal leichtfertig mit einem schwachen Paßwort versehen wurde, ein User, der zu Testzwecken angelegt wurde etc. Durch das Einführen von Portknocking sind auch diese Accounts mitgeschützt - eine Paßwortänderung dagegen muß für jeden Login gesondert gemacht werden. Außerdem ist der Port geschlossen, so daß ein potentieller Angreifer evtl. gar nicht erst auf die Idee kommt, da könnte ein sshd laufen, denn selbst ein Portscan liefert ihm keinen offenen ssh-Port. Michael.
Walter schrieb am 11/09/2004 10:18 AM:
Eine andere Möglichkeit wurde vor einiger Zeit mal in der c't beschrieben; sie beruht darauf, daß man erst mit speziellen Paketen "anklopft" und daraufhin der sshd startet - kennt man nicht die genaue Sequenz, ist der Port einfach dicht. Vielleicht hat jemand anders dazu das passende Stichwort parat...
Ich benoetige den Port 22/SSH. D.h. SSH deaktivieren ist keine Option. SSH auf einen anderen Port legen, ist eine Option aber nicht schoen!
Einen aktuellen Artikel dazu gibt es im Linux Magazin 12/04. Abo-Kunden haben die jetzt schon. Allerdings kann ein aufmerksamer Hacker die Sequenz auch herausbekommen. MfG Peter
Am Di, den 09.11.2004 schrieb Peter Grübl um 12:01:
Walter schrieb am 11/09/2004 10:18 AM:
Eine andere Möglichkeit wurde vor einiger Zeit mal in der c't beschrieben; sie beruht darauf, daß man erst mit speziellen Paketen "anklopft" und daraufhin der sshd startet - kennt man nicht die genaue Sequenz, ist der Port einfach dicht. Vielleicht hat jemand anders dazu das passende Stichwort parat...
Ich benoetige den Port 22/SSH. D.h. SSH deaktivieren ist keine Option. SSH auf einen anderen Port legen, ist eine Option aber nicht schoen!
Einen aktuellen Artikel dazu gibt es im Linux Magazin 12/04. Abo-Kunden haben die jetzt schon. Allerdings kann ein aufmerksamer Hacker die Sequenz auch herausbekommen.
MfG Peter
Wo eine Tür ist gibts es auch eine Möglichkeit rein zu kommen. 100%ige Sicherheit gibt es nicht. Man könnte die Sequenz auch als eine Art einmal Schlüssel realisieren. Damit hättest du schonmal das sniffen ausgetrickst. Gruß Daniel -- Daniel Hanke Linux/Unix Systemadministrator, RHCE windream GmbH - Wasserstrasse 219 - 44799 Bochum Telefon +49 234 9734 0 - Telefax +49 234 9734 520 http://www.windream.com
Am Di, den 09.11.2004 schrieb Walter um 10:18:
Hallo Liste!
In letzter Zeit fallen mir auf meiner Box immer wieder folgende Eintraege im /var/log/messages auf:
Nov 8 17:46:02 myhost sshd[4735]: Illegal user www from ::ffff:210.233.67.132 Nov 8 17:46:02 myhost sshd[4735]: input_userauth_request: illegal user www Nov 8 17:46:02 myhost sshd[4735]: Failed password for illegal user www from ::ffff:210.233.67.132 port 60258 ssh2 Nov 8 17:46:02 myhost sshd[4735]: Received disconnect from ::ffff:210.233.67.132: 11: Bye Bye Nov 8 17:46:05 myhost sshd[4750]: Failed password for wwwrun from ::ffff:210.233.67.132 port 60299 ssh2 Nov 8 17:46:05 myhost sshd[4750]: Received disconnect from ::ffff:210.233.67.132: 11: Bye Bye Nov 8 17:46:07 myhost sshd[4751]: Illegal user matt from ::ffff:210.233.67.132 Nov 8 17:46:07 myhost sshd[4751]: input_userauth_request: illegal user matt Nov 8 17:46:07 myhost sshd[4751]: Failed password for illegal user matt from ::ffff:210.233.67.132 port 60342 ssh2 Nov 8 17:46:07 myhost sshd[4751]: Received disconnect from ::ffff:210.233.67.132: 11: Bye Bye Nov 8 17:46:09 myhost sshd[4752]: Illegal user test from ::ffff:210.233.67.132
Da ist wohl ein Script Kid am "Start". Was gibt es für mittel gegen solche "Angriffe"? Ich benoetige den Port 22/SSH. D.h. SSH deaktivieren ist keine Option. SSH auf einen anderen Port legen, ist eine Option aber nicht schoen! Mit einem Port Scan waere der neue Port ja auch sichtbar.
Hat jemand einen kreativen Tip?
Da wirst du wenig machen können außer du baust dir, wie vor einiger Zeit in der C`t beschrieben, Portknocking ein. Horch, wer kommt von draußen rein... Portknocking als Sicherheitskonzept unter Linux C`t 14/04, Seite 206 Dann ist das Ding dicht bis eine von dir bestimmt reihenfolge an Port "knocks" gemacht wurde.
Gruß
-Walter
Gruß Daniel -- Daniel Hanke Linux/Unix Systemadministrator, RHCE windream GmbH - Wasserstrasse 219 - 44799 Bochum Telefon +49 234 9734 0 - Telefax +49 234 9734 520 http://www.windream.com
Hallo Walter, hallo Leute, Am Dienstag, 9. November 2004 10:18 schrieb Walter:
In letzter Zeit fallen mir auf meiner Box immer wieder folgende Eintraege im /var/log/messages auf:
Nov 8 17:46:02 myhost sshd[4735]: Illegal user www from ::ffff:210.233.67.132 [...] Da ist wohl ein Script Kid am "Start". Was gibt es für mittel gegen solche "Angriffe"? Ich benoetige den Port 22/SSH. D.h. SSH deaktivieren ist keine Option. SSH auf einen anderen Port legen, ist eine Option aber nicht schoen! Mit einem Port Scan waere der neue Port ja auch sichtbar.
Hat jemand einen kreativen Tip?
Brauchst Du unbedingt den Login per Passwort? Wenn nicht, stelle komplett auf SSH-Keys um und sperre passwortbasierte Logins. Hat übrigens gleich zwei Vorteile: - ein SSH-Key hat deutlich mehr bit als ein Passwort, ist also sicherer - Angreifer geben recht schnell auf, wenn sie kein Passwort eingeben dürfen ;-) Jezt gibt es erstmal eine FAQ-Premiere: Fragen im Entwurfsstadium sind Fragen, die noch nicht offiziell verfügbar und auch noch nicht verlinkt sind, weil der Text noch nicht fertig und/oder noch nicht nachgeprüft ist. Möglicherweise sind auch noch Fehler enthalten. Diese Erklärung soll Dich aber nicht davon abhalten, mal 8.7. Wie kann ich den Login ausschließlich mit SSH-Keys erlauben? http://suse-linux-faq.koehntopp.de/q/q-ssh-keyonly.html zu lesen ;-)
Da hätte ich gleich noch eine Frage: Welchen System Benutzer benoetigen den ueberhaupt eine Shell? at, bin, daemon,sshd, nobody (updatdb),stunnel
ausprobieren ;-) Außerdem: Diese Benutzer brauchen kein Passwort, also kann man mit einem ungültigen Eintrag in /etc/shadow den direkten Login verhindern. Gruß Christian Boltz -- [Linux-Performance] Man kann echt an allem in der Kiste sparen - aber bittebitte nicht an RAM, für den Gegenwert von einmal falsch parken kann man schon gut was rausholen. [Ratti in suse-linux]
participants (7)
-
Andreas Feile -
Christian Boltz -
Daniel Hanke -
Dr. Thorsten Brandau -
Michael Schachtebeck -
Peter Grübl -
Walter