We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Was tun bei angriffen?


Schokomuesli
04.02.14, 08:12
Huhu,

Das was da im Log steht, sieht wie stinknormales Grundrauschen aus und ist keinesfalls für Performanceverlust und dergleichen zuständig o.o

Was man gegen Loginversuche tun kann?

Wie bereits gesagt wurde, den SSH Service auf einen anderen Port verlegen. Dann könntest du darüber nachdenken, die Authentifizierung nur zertifikatsbasierend zu erlauben.

Weiters gäbe es da noch zum Beispiel die Möglichkeit einen openvpn server einzurichten, und den Zugriff auf SSH via LinuxFirewall (iptables) rein auf Traffic aus dem virtuellen tun/tap Adapter einzuschränken - mit der Gefahr sich bei inkorrekter Konfiguration selbst ins Bein zu schießen.

Auch könntest du alles was Management betrifft und nicht SSH ist, wie zum Beispiel Webinterfaces, etc. an der loopback Adresse des Servers lauschen lassen, und dich rein über SSH Tunnel zu diesen verbinden.
Bei einem Szenario mit Virtualisierung mit zum Beispiel ESX(i), kann man sich ein kleines, virtuelles Managementnetzwerk basteln, mit mini VMs die als Router dienen usw.

ks-2g
25.01.14, 16:04
Zitat Zitat von KS16G
Als erstes wüde ich jeden vorfall mit log an die entsprechende abuse-abteilung des angreifers schicken.
Sorry, aber das ist BS (bzw. vergeudete Zeit).

Zitat Zitat von KS16G
Dann, den ssh-port hochsetzen, damit hast du erstmal ne weile wieder ruhe.
Zitat Zitat von Isondolos
was ich machen würd: SSH Port verlegen
Richtig! "Best Practices" sind, jeden Service der nur einer geschlossenen Benutzergruppe verfügbar sein soll (Bsp: SSH, mysql, POP3, IMAP - GegenBeispiel: SMTP, HTTP) auf nicht-Standard-Ports laufen zu lassen. Man muss den 10 Usern dann halt schreiben, dass SSH auf 1234/tcp läuft.

Zitat Zitat von KS16G
Und dann, denke mal über die inst. einer "teergrube" oder von knockd nach.
Das ist dann die "hohe Schule", knockd bei grösseren 'closed user groups' aber kaum umzusetzen.

TF_SChw@rZl!cht
25.01.14, 11:02
Wollt ich auch gerade sagen

Hatte mal zum Spaß meinen Raspberry PI @ home am standard-port lauschen lassen. Was glaubst was der pro Sekunde bekam und den hat das nicht gejuckt.

whyte
25.01.14, 10:08
Wenn das Log auch alles ist, kann das eigentlich nicht der Grund sein, dass der Server down ist ...

dabla
24.01.14, 20:47
was spricht dagegen die fail2bandauer auf dauer auf 1 tag zu lassen? du selbst wirst dich nicht aussperren, und kunden werden wohl ihre daten kennen (wenn nicht kannste ja die versuche auf 5 setzen oder 10 - wer es danach nicht geschafft hat soll gebannt werden und sich beim kundendienst melden) und fertig ist der salat.

ansonsten wie gesagt port ändern, key authentifizierung und wenn es gar nicht anders geht portknocking.

was du da gepostet hast, ist im übrigen kein wirklicher angriff sondern normales hintergrundrauschen. Beim Angriff siehste etliche angriffe innerhalb von sekunden und nicht von stunden wie bei dir.

Isondolos
23.01.14, 13:35
Moin,
was ich machen würd:
Code:
vi /etc/ssh/sshd_config
/Port
w
cw beliebigerUnbenutztePortNummer [Esc]
ZZ
in deutsch: SSH Port verlegen

KS16G
23.01.14, 13:31
Als erstes wüde ich jeden vorfall mit log an die entsprechende abuse-abteilung des angreifers schicken.
Dann, den ssh-port hochsetzen, damit hast du erstmal ne weile wieder ruhe.
Und dann, denke mal über die inst. einer "teergrube" oder von knockd nach.
Ich persönlich lasse eh nur ssh mit ppk-datei zu, bringt schon mal ne menge an sicherheit mehr als ein PW.

Tobias-W
23.01.14, 13:14
Guten Mittag,

seit etlichen Tagen wird mein Server dauerhaft beschossen.

Hier mal ein auszug aus dem Fail2ban Log.
Code:
2014-01-23 02:57:38,562 fail2ban.actions: WARNING [ssh] Ban 112.125.xxx.xxx
2014-01-23 03:01:24,828 fail2ban.actions: WARNING [ssh] Ban 222.186.xxx.xxx
2014-01-23 04:26:03,407 fail2ban.actions: WARNING [ssh] Ban 184.168.xxx.xxx
2014-01-23 05:18:38,323 fail2ban.actions: WARNING [ssh] Ban 117.79.xxx.xxx
2014-01-23 05:29:50,054 fail2ban.actions: WARNING [ssh] Ban 222.186.xxx.xxx
2014-01-23 05:36:11,464 fail2ban.actions: WARNING [ssh] Ban 222.186.xxx.xxx
2014-01-23 06:34:38,286 fail2ban.actions: WARNING [ssh] Ban 218.2.xxx.xxx
2014-01-23 06:38:34,553 fail2ban.actions: WARNING [ssh] Ban 112.125.xxx.xxx
2014-01-23 07:48:26,051 fail2ban.actions: WARNING [ssh] Ban 117.79.xxx.xxx
2014-01-23 09:06:44,193 fail2ban.actions: WARNING [ssh] Ban 46.105.xxx.xxx
2014-01-23 09:59:25,696 fail2ban.actions: WARNING [ssh] Ban 117.79.xxx.xxx
2014-01-23 10:28:43,684 fail2ban.actions: WARNING [ssh] Ban 112.125.xxx.xxx
2014-01-23 10:54:28,430 fail2ban.actions: WARNING [ssh] Ban 61.174.xxx.xxx
2014-01-23 10:54:35,451 fail2ban.actions: WARNING [ssh] Ban 115.230.xxx.xxx
Das einzige was bisher geholfen hat, damit mein Server noch erreichbar bleibt, ist das hochsetzen der Bantime von 10 Minten auf 1 Tag.

Das beste waren immer die Meldungen von ovh, das mein Server eine aktive Firewall habe, weil die sich nicht draufschalten konnten. Ist in diesem Fall total falsch! Da der Server generell keine Verbindungen mehr zu ließ, was er nach einem neustart natürlich wieder tat.

Habt ihr noch Ideen was man hier machen kann?