OVH Community, your new community space.

ssh & brute force


sledge0303
03.05.07, 11:04
Zitat Zitat von TF_SChw@rZl!cht
oder einfach den sshd abschalten ist doch die beste Lösung xD
Wenn du seine statische IP hast... mhhhh
TF_SChw@rZl!cht
02.05.07, 19:19
oder einfach den sshd abschalten ist doch die beste Lösung xD
Alzii
02.05.07, 11:18
hmmn joar port ändern werde ich wohl heute mal ändern :>
tcmdk
02.05.07, 10:25
Zitat Zitat von sledge0303
Kann man machen wenn man sich die Zeit ans Bein binden möchte...
wer bissel was auf sicherheit legt, hat zeit und tut sich das auch ans bein binden..
ich persönlich compile/patche den sshd generell selber.

Was meinst wie groß die Wahrscheinlichkeit ist dass das Skriptkiddie auch noch den richtigen Keycode rauskriegt um reinzukommen
sehr gering, nur wer von den dau's used schon Keycode's ?
du hast aber immer noch das problem, wenn er auf default port 22 runned, das der gegner dich mit login anfragen bombadieren kann und die kiste erstma dicht ist :-)


Unabhängig davon, wenn man vom hacken ausgeht, per SSH werden 'nur' einer von 1000 Servern gehackt. Da gibt es bessere Kandidaten die man im Auge behalten sollte bzw. bei der Einrichtung/Entwicklung sorgfältig sein muss
verrat doch ned alles :-)
sledge0303
02.05.07, 10:18
am besten noch den 'realm string' inne source von sshd changen und keine sau weis, das auf dem port eijentlisch n sshd runned.
Kann man machen wenn man sich die Zeit ans Bein binden möchte...

bei ~65k usable ports ist die warscheinlichkeit recht gering das ein kiddy den raus
Was meinst wie groß die Wahrscheinlichkeit ist dass das Skriptkiddie auch noch den richtigen Keycode rauskriegt um reinzukommen

Unabhängig davon, wenn man vom hacken ausgeht, per SSH werden 'nur' einer von 1000 Servern gehackt. Da gibt es bessere Kandidaten die man im Auge behalten sollte bzw. bei der Einrichtung/Entwicklung sorgfältig sein muss
tcmdk
02.05.07, 10:04
Zitat Zitat von sledge0303
Einfacher ist es gar keine Authentifikation per Passwort zuzulassen. Portverschieben ist ok, verlagert das Problemchen letztendlich nur.
den ssh connect port auf n anderen port zu legen ist immer noch besser als tausende dialup entrys inne host.deny zu adden.
bei ~65k usable ports ist die warscheinlichkeit recht gering das ein kiddy den raus bekommt und da n bruteforce runned.
am besten noch den 'realm string' inne source von sshd changen und keine sau weis, das auf dem port eijentlisch n sshd runned.
naja.. sind halt nur möglichkeiten die mir grad spontan so einfallen :-)
sledge0303
02.05.07, 09:57
Zitat Zitat von tcmdk
wie wäre es einfach den ssh connect port zu changen und mit iptables den port 22 zu droppen?

ja ich weis, simple aber wirksam
Einfacher ist es gar keine Authentifikation per Passwort zuzulassen. Portverschieben ist ok, verlagert das Problemchen letztendlich nur.
tcmdk
02.05.07, 09:35
wie wäre es einfach den ssh connect port zu changen und mit iptables den port 22 zu droppen?

ja ich weis, simple aber wirksam
sledge0303
02.05.07, 07:48
Zitat Zitat von Alzii
naja mir gehts nich um die ips sondern darum, dass die nich mehr brute forcen können ... das geht mit denyhost :> nach 5 erfolglosen versuchen wird die ip bei mir in die host.deny eingetragen und die dürfen sich nen neuen Server suchen
Unabhängig davon das die ISPs ihren Kunden die IPs 'dynamisch' zuweisen, wäre es nicht besser die Authentifikation per Keycode only umzustellen?
Alzii
02.05.07, 07:25
naja mir gehts nich um die ips sondern darum, dass die nich mehr brute forcen können ... das geht mit denyhost :> nach 5 erfolglosen versuchen wird die ip bei mir in die host.deny eingetragen und die dürfen sich nen neuen Server suchen
Crash
02.05.07, 06:53
naja was willste da machen,das wird ja eh net von deren eigenen Rechner/Servern gemachtAlso sind die logs nutzlos.Es gibt aber noch ein Script das heist Script Kiddy Defence Script
Alzii
01.05.07, 22:40
nachdem mir zuviele kidies versuchen meinen sshd zu bruteforcen hab ich 'denyhost' installiert (man waren die logs immer endlos lange)... diese mail kam 5 mins nachdem ichs installiert hatte:

Added the following hosts to /etc/hosts.deny:

148.208.143.20 (plataforma.cidfort.edu.mx)
200.67.33.56 (dsl-200-67-33-56.prod-empresarial.com.mx)
200.76.41.99 (host-200-76-41-99.block.alestra.net.mx)


Ich lach mich tot ... schon die ersten Deppen gefangen