Wie Attacker abwimmeln?

[ww]

Werte Gemeinde,

beim checken meiner Logfiles habe ich folgendes gelesen:

Dec 29 15:33:53 toni sshd[90461]: Did not receive identification string from 61.132.74.51
Dec 29 17:24:25 toni sshd[90791]: Illegal user patrick from 61.132.74.51
Dec 29 17:24:33 toni sshd[90793]: Illegal user patrick from 61.132.74.51
Dec 29 22:00:29 toni sshd[91505]: Illegal user jordan from 220.124.143.12
Dec 29 22:00:32 toni sshd[91507]: Illegal user michael from 220.124.143.12
Dec 29 22:00:35 toni sshd[91509]: Illegal user nicole from 220.124.143.12
Dec 29 22:00:37 toni sshd[91511]: Illegal user daniel from 220.124.143.12
Dec 29 22:00:40 toni sshd[91513]: Illegal user andrew from 220.124.143.12
Dec 29 22:00:43 toni sshd[91515]: Illegal user nathan from 220.124.143.12
Dec 29 22:00:46 toni sshd[91517]: Illegal user matthew from 220.124.143.12
Dec 29 22:00:48 toni sshd[91519]: Illegal user magic from 220.124.143.12
Dec 29 22:00:51 toni sshd[91521]: Illegal user lion from 220.124.143.12
Dec 29 22:00:54 toni sshd[91523]: Illegal user david from 220.124.143.12
Dec 29 22:00:57 toni sshd[91525]: Illegal user jason from 220.124.143.12
Dec 29 22:01:00 toni sshd[91527]: Illegal user ben from 220.124.143.12
Dec 29 22:01:03 toni sshd[91529]: Illegal user carmen from 220.124.143.12
Dec 29 22:01:05 toni sshd[91531]: Illegal user justin from 220.124.143.12
Dec 29 22:01:08 toni sshd[91533]: Illegal user charlie from 220.124.143.12
Dec 29 22:01:11 toni sshd[91535]: Illegal user steven from 220.124.143.12
Dec 29 22:01:14 toni sshd[91537]: Illegal user brandon from 220.124.143.12
Dec 29 22:01:17 toni sshd[91539]: Illegal user brian from 220.124.143.12
Dec 29 22:01:20 toni sshd[91541]: Illegal user stephen from 220.124.143.12
Dec 29 22:01:22 toni sshd[91543]: Illegal user william from 220.124.143.12
Dec 29 22:01:25 toni sshd[91545]: Illegal user angel from 220.124.143.12
Dec 29 22:01:28 toni sshd[91547]: Illegal user emily from 220.124.143.12
Dec 29 22:01:31 toni sshd[91549]: Illegal user eric from 220.124.143.12
Dec 29 22:01:34 toni sshd[91551]: Illegal user joe from 220.124.143.12
Dec 29 22:01:38 toni sshd[91553]: Illegal user tom from 220.124.143.12
Dec 29 22:01:41 toni sshd[91555]: Illegal user billy from 220.124.143.12
Dec 29 22:01:43 toni sshd[91557]: Illegal user buddy from 220.124.143.12
Dec 29 22:01:46 toni sshd[91559]: Illegal user jeremy from 220.124.143.12
Dec 29 22:01:49 toni sshd[91561]: Illegal user vampire from 220.124.143.12
Dec 29 22:01:52 toni sshd[91563]: Illegal user betty from 220.124.143.12
Dec 29 22:01:55 toni sshd[91565]: Illegal user henry from 220.124.143.12
Dec 29 22:01:57 toni sshd[91567]: Illegal user max from 220.124.143.12
Dec 29 22:02:00 toni sshd[91569]: Illegal user nicholas from 220.124.143.12
Dec 29 22:02:03 toni sshd[91571]: Illegal user robin from 220.124.143.12
Dec 29 22:02:06 toni sshd[91573]: Illegal user system from 220.124.143.12
Dec 29 22:02:08 toni sshd[91575]: Illegal user johnny from 220.124.143.12
Dec 29 22:02:11 toni sshd[91577]: Illegal user lucy from 220.124.143.12
Dec 29 22:02:14 toni sshd[91579]: Illegal user market from 220.124.143.12
Dec 29 22:02:17 toni sshd[91581]: Illegal user lp from 220.124.143.12
Dec 29 22:02:19 toni sshd[91583]: Illegal user maria from 220.124.143.12
Dec 29 22:02:22 toni sshd[91585]: Illegal user rose from 220.124.143.12
Dec 29 22:02:25 toni sshd[91587]: Illegal user mail from 220.124.143.12
Dec 29 22:02:28 toni sshd[91589]: Illegal user god from 220.124.143.12
Dec 29 22:02:30 toni sshd[91591]: Illegal user barbara from 220.124.143.12
Dec 29 22:02:36 toni sshd[91595]: Illegal user larisa from 220.124.143.12
Dec 29 22:02:39 toni sshd[91597]: Illegal user shell from 220.124.143.12
Dec 29 22:02:41 toni sshd[91599]: Illegal user jane from 220.124.143.12
Dec 29 22:02:44 toni sshd[91601]: Illegal user dog from 220.124.143.12
Dec 29 22:02:47 toni sshd[91603]: Illegal user blue from 220.124.143.12
Dec 29 22:02:50 toni sshd[91605]: Illegal user red from 220.124.143.12
Dec 29 22:02:53 toni sshd[91607]: Illegal user yellow from 220.124.143.12
Dec 29 22:02:56 toni sshd[91609]: Illegal user green from 220.124.143.12
Dec 29 22:02:58 toni sshd[91611]: Illegal user black from 220.124.143.12
Dec 29 22:03:01 toni sshd[91613]: Illegal user pub from 220.124.143.12
Dec 31 04:00:07 toni sshd[36092]: Did not receive identification string from 66.15.145.131
Dec 31 04:13:34 toni sshd[36117]: Illegal user jordan from 66.15.145.131
Dec 31 04:13:36 toni sshd[36119]: Illegal user michael from 66.15.145.131
Dec 31 04:13:38 toni sshd[36121]: Illegal user nicole from 66.15.145.131
Dec 31 04:13:40 toni sshd[36123]: Illegal user daniel from 66.15.145.131
Dec 31 04:13:41 toni sshd[36125]: Illegal user andrew from 66.15.145.131
Dec 31 04:13:43 toni sshd[36127]: Illegal user nathan from 66.15.145.131
Dec 31 04:13:45 toni sshd[36129]: Illegal user matthew from 66.15.145.131
Dec 31 04:13:47 toni sshd[36131]: Illegal user magic from 66.15.145.131
Dec 31 04:13:54 toni sshd[36133]: Illegal user lion from 66.15.145.131
Dec 31 04:13:55 toni sshd[36135]: Illegal user david from 66.15.145.131
Dec 31 04:13:58 toni sshd[36137]: Illegal user jason from 66.15.145.131
Dec 31 04:13:59 toni sshd[36139]: Illegal user ben from 66.15.145.131
Dec 31 04:14:01 toni sshd[36141]: Illegal user carmen from 66.15.145.131
Dec 31 04:14:03 toni sshd[36143]: Illegal user justin from 66.15.145.131
Dec 31 04:14:05 toni sshd[36145]: Illegal user charlie from 66.15.145.131
Dec 31 04:14:07 toni sshd[36147]: Illegal user steven from 66.15.145.131
Dec 31 04:14:09 toni sshd[36149]: Illegal user brandon from 66.15.145.131
Dec 31 04:14:11 toni sshd[36151]: Illegal user brian from 66.15.145.131
Dec 31 04:14:12 toni sshd[36153]: Illegal user stephen from 66.15.145.131
Dec 31 04:14:14 toni sshd[36155]: Illegal user william from 66.15.145.131
Dec 31 04:14:16 toni sshd[36157]: Illegal user angel from 66.15.145.131
Dec 31 04:14:18 toni sshd[36159]: Illegal user emily from 66.15.145.131
Dec 31 04:14:19 toni sshd[36161]: Illegal user eric from 66.15.145.131
Dec 31 04:14:21 toni sshd[36163]: Illegal user joe from 66.15.145.131
Dec 31 04:14:23 toni sshd[36165]: Illegal user tom from 66.15.145.131
Dec 31 04:14:25 toni sshd[36167]: Illegal user billy from 66.15.145.131

Das heißt, irgendein Arsch möchte (automatisiert) bei mir einbrechen. Rein kommt er natürlich nicht, weil meine Usernamen / Passwords recht gut sind. Wie kann ich ihn daran hindern? Kann ich irgendwo ein Delay aktivieren, das z.B. nach dreimaligem ungültigen Versuch ein Timeout von 30 Sekunden auslöst oder die IP-Adresse blockt? Vorschläge?

Danke,
slatat2m

[marmorkuchen]

Hallo,
für den Anfang kannst Du ja den sshd an einem anderen Port lauschen lassen.
Dann könntest Du in Deiner Firewall den ssh-Zugang, so er denn benötigt wird, auf bestimmte IP-Adressen oder Netzwerke beschränken.

Guten Rutsch ins Jahr 2005

Sven Marcel Buchholz

[fader]

Zitat:

Zitat von slatat2m

Werte Gemeinde,

beim checken meiner Logfiles habe ich folgendes gelesen:

Dec 29 15:33:53 toni sshd[90461]: Did not receive identification string from 61.132.74.51
Dec 29 17:24:25 toni sshd[90791]: Illegal user patrick from 61.132.74.51
[...]

Nur keine Panik. Das ist Grundrauschen. Wenn Du sichere Passworte hast, kann Dir das egal sein. Dafuer wuerde ich keine Arbeitszeit verschwenden. Wenn Du da einmal anfangen willst - morgen gibts den naechsten Wurm und irgendwann bist Du nur noch damit beschaeftigt, irgendwelche Abwehrsysteme in Stellung zu bringen. Und gegen echte Bruteforce Angriffe hilft der Parameter MaxStartups.

[unlink]

Lass einfach nur noch Public-Key-Authentication zu.

[ww]

Hallo, angenehme Kopfschmerzen und Danke für die Antworten, die mich beruhigt haben. Trotzdem nochmal die Nachfrage: Kann ich mit einfachen Mitteln ein Delay implementieren, das nach x-mal invalid login eine Zeitverzögerung / Sperre auslöst?

Danke,
slatat2m

[asg]

Das ist, wie schon von fader gesagt, Grundrauschen. Dann kannst Du nactürlich mit ssh keys arbeiten, nur mit einem key und Passwort ist es dann möglich reinzukommen.
Alles in allem, zu vernachlässigen wenn man gute Passwörter hat.

[Arjan]

Dazu las ich letztens etwas in der OBSD-Newsgroup.

In 3.6 gibt es offensichtlich in PF so etwas, da können dynamisch Regeln hinzugefügt werden bei solchen Vorkommnissen.

Wenn ich richtig las, stammt das von D.Hartmeier.

HTH

Gruss


PS: mal suchen nachher, ob ich die entsprechende News finde.

[asg]

@salat2m
Da fällt mir ein, installier und konfigurier Dir "portsentry". Das merkt wenn es zu solchen Vorkommnissen kommt und fügt dynamisch eine neue ipfw Regel ein die diese IP sperrt. Man kann auch whitelists und blacklists anlegen..

[Arjan]

So, gefunden:

Msg-ID: <slrncs67h5.1nq.daniel@insomnia.benzedrine.cx> zur suche bei Google.

Ob das Feature nun schon im FBSD-Port von PF drin ist, weiss ich natürlich nicht.

HTH

Gruss

[SierraX]

Um nochmal auf deine idee mit dem timedelay zurück zu kommen, das ist das schlechteste was du machen kannst.
Stelle man sich vor, dein useraccount wurde in erfahrung gebracht. bf angriff das delay steigert sich wie beim autoradio (3 fehlversuch 90sec, 4 180 etc.) wie willst du dann von draußen rein kommen?

ich sehe timedelays eher als erziehungsmethoden für user, welche immer die caps taste vergessen.

[Björn König]

Zitat:

Zitat von Arjan

In 3.6 gibt es offensichtlich in PF so etwas, da können dynamisch Regeln hinzugefügt werden bei solchen Vorkommnissen.

So etwas kann man auch in ein paar Shellskriptzeilen und einem cronjob basteln der im Minutentakt in die auth.log guckt. So bekämpfe ich jedenfalls diese SSH-Spammer. ;-)

Ich sammle aber auch generell IP-Adressen, u.a. auch aus dem Webserverlog, ermittle dann den gesamten IP-Bereich und verweigere denen pauschal den Zugang. Für den Anfang:

# China
222.92.0.0/14
221.232.0.0/14
222.90.0.0/15
222.32.0.0/11
61.128.0.0/11
61.240.0.0/14
219.72.0.0/16
# Hong Kong
203.98.128.0/18
# Microsoft MSN-Bot
207.46.0.0/16
65.52.0.0/14
207.68.128.0/18
207.68.192.0/20

Das ist aber langwierig und man muss abwägen, ob man auf Koreaner, Chinesen, Taiwanesen usw. verzichten kann.

[CRAZyBUg]

ich habe es bei mir genau anders herum gemacht. bei mir ist der login nur von bestimmten ip adressen möglich.

217.*.*.*

194.*.*.*

und
62.*.*.*

sind zwar immernoch eine menge ip's aber da kommen kaum mehr rauschgeräusche ... alle 2 wochen mal... und da ich eh nicht nach brasilien gehe um die server zu remoten... isses piefke

[r0b0]

Simpelste Möglichkeit ist wirklich den sshd wo anders lauschen zu lassen. Meiner hört auf Port 443. Und siehe da, auf einmal ist Ruhe in /var/log/auth.log. Port 443 hat auch gleich noch den angenehmen Nebeneffekt das ich von Arbeit aus durch den Proxy ssh'hen kann was sonst nicht möglich wäre.

Auch eine schöne Möglichkeit wäre Portnocking. Sprich ssh Port nur an die IP aufmachen von der aus angeklopft wurde. Das ist meiner Meinung nach die sicherste Lösung.

r0b0

[wysiib]

Zitat:

Zitat von r0b0

Simpelste Möglichkeit ist wirklich den sshd wo anders lauschen zu lassen. Meiner hört auf Port 443. Und siehe da, auf einmal ist Ruhe in /var/log/auth.log. Port 443 hat auch gleich noch den angenehmen Nebeneffekt das ich von Arbeit aus durch den Proxy ssh'hen kann was sonst nicht möglich wäre.

Auch eine schöne Möglichkeit wäre Portnocking. Sprich ssh Port nur an die IP aufmachen von der aus angeklopft wurde. Das ist meiner Meinung nach die sicherste Lösung.

r0b0

das zweite halte ich wirklich für ne gute idee.

den ssh-port ändern stört vielleicht die _ganz_ schlechten kiddies.... bringt aber sicherheitsmäßig nichts

[p4lm0r]

frage . . wie klopft man denn bei portnocking an, damit der port geöffnet wird, oder wie kann ich mir das vorstellen?