Intrusion Detection

toor

toor

Bruchpilot
Hi Leute!

Habe gerade meine auth.log angesehen und folgendes entdeckt:

Code: 
...
Jul 16 18:14:09 ghostmachine sshd[93333]: Illegal user baltazar from 202.181.163.196
Jul 16 18:14:12 ghostmachine sshd[93337]: Illegal user basil from 202.181.163.196
Jul 16 18:14:17 ghostmachine sshd[93343]: Illegal user beatrice from 202.181.163.196
Jul 16 18:14:20 ghostmachine sshd[93347]: Illegal user bella from 202.181.163.196
Jul 16 18:14:23 ghostmachine sshd[93351]: Illegal user bianca from 202.181.163.196
... usw

Der "Angreifer" blieb beim Anmelden über ssh erfolglos, auch habe ich eine Firewall (ipfw) eingerichtet, was aber natürlich nicht bedeutet, das der "Angreifer" doch anderweitig ins System eindringen konnte.

Wie kann ich in Zukunft schneller derartige Vorfälle entdecken, bzw nachvollziehen?

Ich habe mich bis jetzt nicht mit Intrusion Detection Software befasst, kann mir jemand entsprechende Software und Sheets zu diesem Thema empfehlen?

Vielen Dank im Voraus!
 
Wenn du keine weitern unsicheren Dienste (Apache, telnetd, ...) hast und sshd der einzige Angriffsvektor ist, bleibt dir nix anderes als Logs lesen.

Und dafür zu sorgen das sshd abgedichtet wird, also pubkey statt Passwort, Usernamen die nicht verbreitet sind (irgendeine Zahl/Sonderzeichen anhängen, auf meinen Servern tauchen fast nur "normale" englische Vornamen in den Angriffen auf), root verbieten und, wenn möglich, den zulässigen Adresbereich, der sich verbinden darf einschränken.

Nachdem ich meine Server sshd per ipf auf das QDSL-Netz begrenzt habe sind die Angriffe dramatisch zurückgegangen.


Empfehlenswert ist ein Dateisystemintegritätsprüfer, wie aide[1] oder mtree.

Zu IDS habe ich auf den letzten Chemnitzer Linuxtagen eine Einführung gegeben, Unterlagen gibt es unter [2]

[1] http://www.net-tex.de/unix/aide.html
http://www.net-tex.de/unix/aide-en.html (engl)

[2] http://www.net-tex.de/home/lect.html#clt5
 
Moin

Vielleicht solltest du dir mal /usr/ports/security/snort ansehen,
ist ganz gut.

greetz delmo
 
Hi,

äh, Apache ist ein unsicherer Dienst? Wie auch immer: Ich habe mir anfangs auch Sorgen gemacht, ignoriere das aber als Scriptkiddierauschen, weil ich keine Accounts namens paul, admin, joe, wwwdata oder fuckyou habe...
 
Och nich schon wieder.
Zu diesem Thema gibt es mittlerweile schon einige Threads hier im Forum.
Das ist, nochmals, Hintergrundrauschen und belanglos. Einziger Makel: die logs werden "verunreinigt".

@ww
Unsicher bedeutet dabei das diese Dienste immer wieder Lücken aufweisen durch die es möglich ist auf das System zugreifen zu können ausserhalb des Rahmens wie Du Dir das vorstellst.
 
Solche Einträge habe ich 24 Stunden am Tag und 7 Tage die Woche durchgehend.
Sogar Weihnachten!

Wenn du SSH absichern willst, sperr' den root-Account für SSH (PermitRootLogin no) und lass nur Public-Key Logins zu. Du außerdem kannst du ihn noch auf einen anderen Port legen. "Port 999" heißt das dann zum Beispiel. Und wenn du Lust hast kannst du über den inetd nicht mehr als 5 SSH-Logins von einer IP pro Minute zulassen.

jogla
 
Danke für die schnellen Antworten!

Ich werde die Vorschläge näher betrachten, habe inzwischen sshd einen anderen Port zugewiesen und PermitRootLogin no in die sshd_config eingetragen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben