Hilfe! Mein Server wird angegriffen!

und mit nem cronjob kann man die tabelle auch wieder ausleeren, da es ja auch von dynamischen ip-adressen kommen kann... falls die dann wieder pöse sind, werden sie ja sowieso wieder gesperrt :)
 
Bei mir hat das Ändern des Ports auf einen 4-stelligen Wert und das Verbieten von Logins als Root geholfen. Seitdem ist meine authlog frei von fremden Loginversuchen (was am veränderten Port liegt).
 
walt schrieb:
Ja - mit folgender pf-Regel:
table <sshattack> persist file "/root/sshattack"
[...]
block in quick from <sshattack> to any
[...]
pass in on $ext_if proto tcp to ($ext_if) port ssh flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 5/30, overload <sshattack> flush global)

Hier ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.txt nachzulesen.

Das hier ist auch sehr nett:
rdr pass on $ext_if proto tcp from !<sshattack> to MyPublicIP/32 port 25 -> 192.168.10.10 port smtp

und kann beliebig kombiniert werden.
Zum Vergrößern anklicken....

Sowas ist ja cool, das werde ich gleich auch mal testen. In deinem Beispiel sind es doch jetzt 10 Anmeldeversuche oder nicht?
 
Meiner Meinung nach (damit stehe ich ja nicht allein) öffnet DenyHosts DOS Attacken Tür und Tor. Was nützt einem ein sicheres System, wenn man es nicht mehr benutzen kann?
 
Stimmt. Deshalb sollte DenyHosts nur hinter einer Firewall verwandt werden, die IP Adress Spoofing verhindert.
 
Lustig lustig. Solche "Angriffe" habe ich auch schon seit geraumer Zeit. W"are doch mal ne interessante Sache so nen Trottel reinzulassen und schauen was er macht. Mal sehen, wenn ich die Tage Zeit habe werde ich mal alle wichtigen Festplatten abh"angen und schauen. Ohne root d"urfte ja soviel ehh nicht gehen. Und wenn doch hammer was gelernt :)
 
FierceOne schrieb:
Lustig lustig. Solche "Angriffe" habe ich auch schon seit geraumer Zeit. W"are doch mal ne interessante Sache so nen Trottel reinzulassen und schauen was er macht. Mal sehen, wenn ich die Tage Zeit habe werde ich mal alle wichtigen Festplatten abh"angen und schauen. Ohne root d"urfte ja soviel ehh nicht gehen. Und wenn doch hammer was gelernt :)
Zum Vergrößern anklicken....

:) Diese Idee hatte ich auch schon mal. Das läuft doch dann unter dem Namen Tarpit?! (ich sehe gerade nicht ganz, aber so ähnlich: http://de.wikipedia.org/wiki/Teergrube_(Informationstechnik)

Gruss
 
Eigentlich nennt man das Honeypot, seine bekannteste Form ist das http://www.honeynet.org/ Projekt diese haben auch einige Bücher zum Thema verfasst, in Richtung "Tracking Hackers with Honeypots...".

Teergruben, bzw Tarpits werden z.B. von OpenBSD's Spamd eingesetzt, was zum Spamschutz genutzt wird.
 
walt schrieb:
Ja - mit folgender pf-Regel:
table <sshattack> persist file "/root/sshattack"
[...]
block in quick from <sshattack> to any
[...]
pass in on $ext_if proto tcp to ($ext_if) port ssh flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 5/30, overload <sshattack> flush global)

Hier ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.txt nachzulesen.

Das hier ist auch sehr nett:
rdr pass on $ext_if proto tcp from !<sshattack> to MyPublicIP/32 port 25 -> 192.168.10.10 port smtp

und kann beliebig kombiniert werden.
Zum Vergrößern anklicken....

Man muss nur aufpassen, dass man lieber noch ein quick zur pass in Regel packt, da ansonsten noch andere Regeln greifen koennten, die unterhalb stehen. War bei mir so ;)
 
Letzte Nacht waren wieder eine ganze Welle an Versuchen, wieder verschiedene Usernamen (test, admin, guest ...) und Ports (54553-55738). Was ich nicht verstehe, auf diesen Ports lauscht kein Dienst! Die Firewall blockt alles außer dem Standardports! Wie kommt es dann zu einem Anmeldeversuch? In der /var/log/auth.log steht trotzdem immer noch:

Code: 
(...)
sshd[54553]: Invalid user admin from xxx.xxx.xxx.xxx
sshd[54557]: Invalid user stud from xxx.xxx.xxx.xxx
sshd[54559]: Invalid user trash from xxx.xxx.xxx.xxx
sshd[54561]: Invalid user aaron from xxx.xxx.xxx.xxx
sshd[54563]: Invalid user gt05 from xxx.xxx.xxx.xxx
sshd[54565]: Invalid user william from xxx.xxx.xxx.xxx
sshd[54567]: Invalid user stephanie from xxx.xxx.xxx.xxx
sshd[54579]: Invalid user gary from xxx.xxx.xxx.xxx
sshd[54583]: Invalid user guest from xxx.xxx.xxx.xxx
sshd[54585]: Invalid user test from xxx.xxx.xxx.xxx
sshd[54587]: Invalid user oracle from xxx.xxx.xxx.xxx
sshd[54631]: Invalid user apache from xxx.xxx.xxx.xxx
sshd[54637]: Invalid user lab from xxx.xxx.xxx.xxx
(...)

Wenn die Firewall die oberen Ports blockt, sollten diese Einträge doch eigentlich nicht mehr im Log erscheinen? Oder? Wenn ich versuche, mich per SSH auf die oberen Ports einzuloggen kommt gar nichts! So sollte es doch sein! Wieso können sich die Bots dann noch anmelden?
 
realdarkman71 schrieb:
Ok, danke!

Habe heute - glaube ich - einen richtigen Angriff auf meinen Server gehabt! Das stand mehrfach in der /var/log/auth.log (habe die Adressen mal geXt):

Code: 
sshd[48343]: reverse mapping checking getaddrinfo for blah.blah.blah.net [xxx.xxx.xxx.xxx] failed - POSSIBLE BREAK-IN ATTEMPT!

Was haltet Ihr davon? Ist das ein gefährlicher evtl. gezielter Angriff?
Zum Vergrößern anklicken....

Wie ASG schon sagte, das ist Hintergrundrauschen und das übliche Generve...
Es gibt schlimmeres. Aber die Kollegen haben Dir ja schon einige Tips gegeben.
 
--> Einen Haufen beleidigendes Geseir wegzensiert <--
Yamagi, 21.07.07 10:19 Uhr

Und noch ein kleiner Beitrag zur sshd_config;
AllowUsers Benuzername/n
AllowGroups etwas phantasie bitteschoen
mit im Zusammenhang die PF-regel, die ja schon erwaehnt worden ist, gibt es
hier genau 2 Versuche bei mir.
man 5 sshd_config weiss mehr. Warum sich noch extra Tools installieren?
Der, der noch nicht behackt worden ist.
 
Zuletzt bearbeitet von einem Moderator:
Du hattest wohl 'ne schlechte Bluete in dem Kraut, das Du geraucht hast.
Anderenfalls bist Du einfach nur zu weich fuer dieses Forum.
 
Eine Schlägerei, eine Schlägerei. :p:p:p

Internetz ist nix für Weicheier. :rolleyes:

Als ich diese Logs bei meinem ersten Server das erste mal gesehen habe, habe ich mich auch zu Tode erschreckt.

*BSD scheint immer Desktoptauglicher zu werden und mich für meinen Teil freut das, auch wenn ich dann auch durch noch mehr blöde Fragen auffalle.
Ich freu mich drauf. :)
 
Hardliner schrieb:
Oh Mann...
walt weiss dafuer nicht, wie man die Syntax zum leuchten bringt,
Oh Mann...
radiohead weiss beispielsweise nicht, welche Version an Tools er installiert.

Ihr wollt, das JEDER/JEDE BSD benutzt, anstatt das eventuelle Win. Dann macht
Ihr Euch mal gefasst, den wen es taeglich ein kleines mehr an
BSD-installationen gibt, gibts halt auch die eine und andere Frage.
Seht es doch einfach ein, BSD ist nichts fuer den normalo-Desktop-User.
Schon gar nicht, wen es so unerfreulich freundliche Forenuser wie euch gibt.

Hier stinkts.

Und noch ein kleiner Beitrag zur sshd_config;
AllowUsers Benuzername/n
AllowGroups etwas phantasie bitteschoen
mit im Zusammenhang die PF-regel, die ja schon erwaehnt worden ist, gibt es
hier genau 2 Versuche bei mir.
man 5 sshd_config weiss mehr. Warum sich noch extra Tools installieren?
Der, der noch nicht behackt worden ist.
Zum Vergrößern anklicken....

Aua........

Slashdot traumatisiert? Oder keine Liebe auf heise in früheren Tagen bekommen, oder einfach die Gangsta Rapper Figur von Bsdforen???
 
offtopic.jpg
 
So, bitte ignoriert die (inzwischen von mir entfernte) Beleidigung und kehrt zum Thema zurück. Danke!
 
Also so Bär betreibt ein Servbärenheim. Möchtest Du Deinen Server ned einfach beim Bären im Heim abgeben ? - ich tausch ihn auch gerne ein gegen ein Manual incl. CD (Hörbuch mit de Bär für lesefaule und blinde Bären).

Gruß Bummibär

PS: das sans keine Ports sondern PID - Ein Blick ins Handbuch wäre da sicher ganz nützlich und Manpages etc. gibts au die manchmal weiterhelfen könnten wenn man Sie lesen würde.
 
walt schrieb:
Ja - mit folgender pf-Regel:
table <sshattack> persist file "/root/sshattack"
[...]
block in quick from <sshattack> to any
[...]
pass in on $ext_if proto tcp to ($ext_if) port ssh flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 5/30, overload <sshattack> flush global)

Hier ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.txt nachzulesen.

Das hier ist auch sehr nett:
rdr pass on $ext_if proto tcp from !<sshattack> to MyPublicIP/32 port 25 -> 192.168.10.10 port smtp

und kann beliebig kombiniert werden.
Zum Vergrößern anklicken....

Nochmal zu dieser Info. Ich habe das so eingerichtet siehe nun in authlog folgendes:

Code: 
Jul 21 14:50:58 voldemort sshd[25165]: Invalid user a from 24.234.113.226
Jul 21 14:50:58 voldemort sshd[25323]: input_userauth_request: invalid user a
Jul 21 14:50:59 voldemort sshd[25323]: Received disconnect from 24.234.113.226: 11: Bye Bye
Jul 21 14:51:00 voldemort sshd[16724]: Invalid user b from 24.234.113.226
Jul 21 14:51:00 voldemort sshd[29832]: input_userauth_request: invalid user b
Jul 21 14:51:01 voldemort sshd[29832]: Received disconnect from 24.234.113.226: 11: Bye Bye
Jul 21 14:51:02 voldemort sshd[14874]: Invalid user c from 24.234.113.226
Jul 21 14:51:02 voldemort sshd[18250]: input_userauth_request: invalid user c
Jul 21 14:51:03 voldemort sshd[18250]: Received disconnect from 24.234.113.226: 11: Bye Bye
Jul 21 14:51:04 voldemort sshd[19668]: Invalid user d from 24.234.113.226
Jul 21 14:51:04 voldemort sshd[8090]: input_userauth_request: invalid user d
Jul 21 14:51:04 voldemort sshd[8090]: Received disconnect from 24.234.113.226: 11: Bye Bye
Jul 21 14:51:06 voldemort sshd[29470]: Invalid user e from 24.234.113.226
Jul 21 14:51:06 voldemort sshd[7276]: input_userauth_request: invalid user e
Jul 21 14:51:06 voldemort sshd[7276]: Received disconnect from 24.234.113.226: 11: Bye Bye

Das sind also fuenf Anmeldeversuche in 30s und dann muesste doch diese IP in der sshattack Datei auftauchen, jedoch tut sie das nicht.

Code: 
# ls -l /root/sshattack                                                                                           
-rw-r--r--  1 root  wheel  0 Jul 19 16:37 /root/sshattack

Aber es passieren trotzdem nur 5 Anmeldeversuche und das is Ruhe, also scheint die Regel doch irgendwie zu greifen...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben