Hilfe! Mein Server wird angegriffen!

realdarkman71

realdarkman71

Well-Known Member
Hallo Leute,

ich habe jetzt schon einige Tage mit (wahrscheinlich willkürlichen) Angriffen auf meinen root-Server zu kämpfen. Einige IP-Adressen aus USA, China, Korea und Holland versuchen sich mit verschiedenen Namen (root, test, admin, user, ...) und mit versch. Ports per SSH einzuloggen! Wahrscheinlich sind das Bots, die die Ports abgrasen und versuchen mit versch. Namen reinzukommen. Ausserdem bombadiert ein Chat-Server aus Österreich eine meiner Webseiten, >jede Minute< werden nicht vorhandene Dateien aufgerufen! Das gibt natürlich "nur" einen Eintrag in der httpd-error.log ... aber das ist doch nur Ressourcen-Verschwendung und ... was soll das??? Was haben die alle davon???

Hat jemand auch schon solche Angriffe erlebt? Was tut Ihr dagegen?

Ich habe diese IP-Adressen bereits in die Firewall (ipfilter) eingetragen, so das die gleich geblockt werden. Wenn sich die Zahl der IP-Adressen allerdings erhöht (was ich nicht ausschließe), ist das dann ein Nachteil für die Firewall? Ich meine, kann die durch viele Einträge langsam werden und so den "normalen" Netzverkehr ausbremsen?

Bezüglich dieser Lage möchte ich mich mehr und tiefer mit dem Thema (Server-) Sicherheit beschäftigen. Kennt jemand gute Bücher oder URLs zu diesem Thema?

Danke und Gruß
Chris
 
Das is doch kein Angriff sondern allgemeines Hintergrundrauschen.
Wenn root nicht darf, wenn die User nen starkes PW haben oder der login nur mit key+pw möglich ist, was solls. Dann versaut das nur das Log.
 
Das Hintergrundrauschen kannst ja durch ändern der Ports für sshd oder httpd entkommen. Ob es eine sinnvolle Änderung ist, bleibt jedem selbst überlassen:D
 
also durch "mehr regeln" wird die firewall nicht langsamer. allerdings wird der server insgesamt schon langsamer durch den paketansturm.
um die ssh-logins zu reduzieren könntest du auf einen anderen (nicht-standard) port wechseln. zur not kannst du noch, falls die dienste oder besonders ssh nur dir zur verfügung stehen soll auch einen portknocking dienst (wie doormand) anwenden.
ob das real die sicherheit erhöht ist ein streitthema, es wird aber auf jeden fall ssh-bruteforce angriffe von bots unterbinden.
 
also mit pf könntest du die ips von den bruteforcelern direkt in nen geblockten table kippen und diesen dann per cron entleeren (oder auch nicht :)). ich mach das bei mir auch und funzt bestens, kenne allerdings ipfilter nicht und weiss daher auch nicht, ob man das damit auch hinbekommt, ohne sich was zu basteln...
 
Von Denyhosts würde ich die Finger lassen - das öffnet einem gezielten DoS nur Tür und Tor. Außerdem hatte das Teil neulich ne nette Lücke... Port verlegen hilft nur beim Logs sauber halten, einen ernsthaften Angreifer hält das nicht auf. Und ein Paketfilter auf einem Stand-Alone-System als "Sicherheitsmaßnahme"... na ja.

Schau Dir mal diesen Link an, da ist eine sehr paranoide Konfiguration für den sshd vorgestellt. Das einzige, was man da jetzt noch zusätzlich tun könnte, wäre Portknocking.

EDIT
Btw. solche Wannabe-Bruteforce-Angriffe auf sshd sind auf öffentlich erreichbaren Servern völlig normal - solange Du Dir sicher sein kannst, dass sie nicht zum Erfolg führen könnten (z. B. weil Du nur Public Key Authentification zulässt), kannst Du die getrost ignorieren.
 
Ok, ich werde mich mal mit den Techniken beschäftigen! ...mal schauen, welche ich dann anwende. Vielen Dank für Eure Hilfe!

Kennt jemand gute Bücher oder URLs zu dem Thema (Server-) Sicherheit?
 
von o'reilly die netzwerksicherheitshacks und securing freebsd and openbsd, sowie securing architectures with openbsd (oder so). letzteres findest du auch bei openbsd.org auf der homepage... leider ist das mit büchern immer sone sache. bis sie fertig, gedruckt und auf dem markt sind, ist freie software da meist ein wenig weiter. aber die grundlagen bleiben ähnlich...

hth,
marc
 
Ok, danke!

Habe heute - glaube ich - einen richtigen Angriff auf meinen Server gehabt! Das stand mehrfach in der /var/log/auth.log (habe die Adressen mal geXt):

Code: 
sshd[48343]: reverse mapping checking getaddrinfo for blah.blah.blah.net [xxx.xxx.xxx.xxx] failed - POSSIBLE BREAK-IN ATTEMPT!

Was haltet Ihr davon? Ist das ein gefährlicher evtl. gezielter Angriff?
 
wählst du dich von einer statischen ip auf den server? Dann würde ich die nur zulassen in der FW und den rest sperren.
 
Gibts eigentlich ne Möglichkeit zu sagen: "nach 2 Versuchen gibts keine Möglichkeit mehr mit der vom Angreifer benutzen IP reinzukommen?"
MaxAuthTries ist ja nur für die Anzahl der gleichzeitigen noch unauthentifizierte Verbindungen.

Eine nette Möglichkeit wären auch Einmalpasswörter, was dann so wie ne TAN Liste aussehn kann (natürklich nicht nur mit Zahlen).
 
Ogion schrieb:
Von Denyhosts würde ich die Finger lassen - das öffnet einem gezielten DoS nur Tür und Tor.
Zum Vergrößern anklicken....

Also, einige sagen, DenyHost ist gut. Andere raten davon ab! Was ist denn nun richtig? Kann man DenyHost denn verwenden, ohne gleich neue Löcher aufzureißen? PortKnocking hört sich gut an und Portsentry scheint auch eine gute Möglichkeit zu sein!?
 
d4mi4n schrieb:
Gibts eigentlich ne Möglichkeit zu sagen: "nach 2 Versuchen gibts keine Möglichkeit mehr mit der vom Angreifer benutzen IP reinzukommen?"
[...]
Zum Vergrößern anklicken....

Ja - mit folgender pf-Regel:
table <sshattack> persist file "/root/sshattack"
[...]
block in quick from <sshattack> to any
[...]
pass in on $ext_if proto tcp to ($ext_if) port ssh flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 5/30, overload <sshattack> flush global)

Hier ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.txt nachzulesen.

Das hier ist auch sehr nett:
rdr pass on $ext_if proto tcp from !<sshattack> to MyPublicIP/32 port 25 -> 192.168.10.10 port smtp

und kann beliebig kombiniert werden.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben