SSH brute-force abwehren.

[Rabadag]

Du wirkst der Attacke nur entgegen, in dem du die Leute, die das machen anklagst.
Wenn auf Port 22 einen Dienst anbietest, der ssh mässig ausschaut (auch wenns bloss ein fake ist) kommen solche versuche.
.

Naja hast du es schonaml versuch einen Hacker mit gefakter IP zu lokalisieren.
Sorry für das hab ich nunmal keine zeit.

Das eigentliche Ziel ist es denen die lust daran zu verderben weil sie überall egal mit was für ner fake ip sie daher kommen geblockt werden.

Schade ist nur das im TCP/IP Protokoll keine mac adresse vorhanden ist und MAC adressen sich auch nicht auflösen lassen sonnst könnte man das auf hardware adress basis machen.

nunja wie auch immer. Mein ziel ist es nicht das Rad neu zu erfinden.

 

[menace]

rabadag: dafür, dass sie die lust verlieren, bist du nicht mal der tropfen auf den heissen stein. sie machen das, weil tausende andere leute unsichere passwörter verwenden. das problem hast du nicht, also, was willst du?
btw: ssh ist nicht mit gefakter IP, woher will der denn sonst wissen, ob sein password richtig war, wenn der ssh die erfolgs/fehlmeldung zurückschickt?

Informiere dich über & nutze die vorhandenen Sicherheitsmechanismen, und versuche nicht selber welche zu konstruieren, solange du dich nicht eingehender mit Informations- und Netzwerksicherheit beschäftigt hast, das geht sonst (allzu oft) in die Hose

 

[ww]

Hmmm, ich als Semi-N00b verstehe nicht ganz, wo das Problem liegt. Ich selbst beobachte auch ständig die Verbindungsversuche von 'joe', 'admin', 'paul', 'sara' and friends, sicher hundert Mal am Tag. Das ist zwar lästig (vgl. GEZ, Spam, Hämorrhoiden), aber letztlich geht es mir achtern vorbei, weil die Deppen sowieso nicht reinkommen. Imho ist es Verschwendung von Lebenszeit, sich mit diesen lowlifes zu beschäftigen.

Und ja, ich habe Dich verstanden und nein, Deine originellen Schreibfehler werde ich nicht als mein geistiges Eigentum mißbrauchen.

 

[Rabadag]

rabadag: dafür, dass sie die lust verlieren, bist du nicht mal der tropfen auf den heissen stein. sie machen das, weil tausende andere leute unsichere passwörter verwenden. das problem hast du nicht, also, was willst du?
btw: ssh ist nicht mit gefakter IP, woher will der denn sonst wissen, ob sein password richtig war, wenn der ssh die erfolgs/fehlmeldung zurückschickt?

Informiere dich über & nutze die vorhandenen Sicherheitsmechanismen, und versuche nicht selber welche zu konstruieren, solange du dich nicht eingehender mit Informations- und Netzwerksicherheit beschäftigt hast, das geht sonst (allzu oft) in die Hose

Ja sicher, ich bin ja nicht der einzige der sowas machen will..
Das erste scrip geht schon einigermassen als logausgabe.
Das ergebnis sieht dan so aus.
"66.179.176.16,1116506425,1850"

 

[TCM]

Das eigentliche Ziel ist es denen die lust daran zu verderben weil sie überall egal mit was für ner fake ip sie daher kommen geblockt werden.

dein ziel ist es also, automatisierten scripts die "lust" zu verderben? das ganze vorhaben hier ist zeitverschwendung. nutze sichere passwoerter oder private/public-key-auth und gut ist.

 

[menace]

Ja sicher, ich bin ja nicht der einzige der sowas machen will..

Haben das die Sonnentempler auch gesagt, als sie ihre Reise zum Sirius begründet haben?
soll heissen: bloss weil andere das auch machen (wollen) macht dass das nicht unbedingt "richtiger" oder sinniger....

 

[lars]

@Rabadag:
Du wirst dein Ziel verfehlen.
Weil deine IP innerhalb einer Range ist, die Script-Kiddies in ihren Scannern definieren.
Die Script-Kiddies werden sich nicht die Mühe machen genau deine IP auszuschliessen.

 

[Rabadag]

@Rabadag:
Du wirst dein Ziel verfehlen.
Weil deine IP innerhalb einer Range ist, die Script-Kiddies in ihren Scannern definieren.
Die Script-Kiddies werden sich nicht die Mühe machen genau deine IP auszuschliessen.

und was wäre wenn die logs zusammen getragen werden...
Das wäre ne harte beweislage..

Gut ssh ist fileicht ein schlechtes beispiel.

Der grund weshalb ich sowas machen will ist einfach weil sich überall auf meinen und der Kunden und bei freunden die logs überquellen.

Da noch ne IP rauszuholen wird schwirig und ist auch zeitaufwendig.
Weil die spamer seit neustem auch smtp accounts angreifen um zuerst ein postfach zu finden das existiert und dan mittels desem absender auf dem host mails zu versenden und da ist halt mein intresse die auszusperren.

was ist daran falsch.

 

[lars]

und was wäre wenn die logs zusammen getragen werden...
Das wäre ne harte beweislage..

Wenn du damit meinst, du könntest mit solchen "Beweisen" ein Script-Kiddy an seinem Tun hindern,
so glaube ich nicht, dass du damit Erfolg haben wirst.

AFAIK ist scannen von Ports nicht illegal.
Könnte aber in den AGB eines _deutschen_ Netzbetreibers nicht erlaubt sein.
International kannst du diesen Ansatz aber wahrscheinlich vergessen.

Wenn du hingegen meinst Script-Kiddies würden Ihre Log-Files darauf filtern, ob eine IP sie blockt
oder nicht, so könnte das sogar sein, aber IMHO werden sie dich trotzdem weiter scannen.
Weil sie annehmen du würdest vielleicht mal deinen "Blocker" abstellen.

Der grund weshalb ich sowas machen will ist einfach weil sich überall auf meinen und der Kunden und bei freunden die logs überquellen.

Jetzt hast du aber ein neues Ziel definiert, das du mit deinem "Blocker" erreichen willst, das Verhindern zu grosser Log-Files.
In dem Fall würde ich, wie k3rn3lpanic, vorgeschlagen hat, den Log-Level deiner jeweiligen Dienste anzupassen.

Weil die spamer seit neustem auch smtp accounts angreifen um zuerst ein postfach zu finden das existiert und dan mittels desem absender auf dem host mails zu versenden und da ist halt mein intresse die auszusperren.

Wenn du aber, wie du mit deinem SMTP-Beispiel andeutest, noch ein Ziel hast, SPAM zu verhindern,
so gibt es schon ein paar sehr gut funktionierende Methoden, wie du Spammer und SPAM blockieren kannst.

was ist daran falsch.

Ich glaube, dass du einen Fehler begehst, wenn du nicht erst genau definierst, was dein Ziel/Problem ist.
Erst das Problem definieren, dann die Lösung dazu finden.

 

[menace]

beim fehllogin von smtp accounts sollte auch nicht kenntlich gemacht werden, ob der user existiert, das das falsche passwort war, oder sonst etwas. wie beim ssh auch. da stecke ich leider nicht so in der materie drin, aber auch da gibt es bestimmt server, die solches auf diesem Wege händeln.

btw: im schlimmsten fall werden diese scans von bots ausgeführt, die auf irgendeinem windowszombie laufen. am ende gehört der windowszombiepc einem freund von dir, und ihr könnt nicht mehr per icq chatten? und da du ja alles automatisch blockst, weisst du nicht mal was los ist, und er dir nicht antwortet :>

 

[Rabadag]

Lars..

Da gebe ich dir vollkommen recht.

Ich hätte vileicht genauer das ziel devinieren sollen.
nun ja ich will nicht gleich alles ausplaudern.

Das endziel soll einfach ein Script sein das anhang von verhalten die jewielige IP blockt resp der Master FW zusendet oder was der Admin immer damit machen will.

Es soll eine misching aus Teil logging und Portwatch sein.

Zugleich wid die entsprechende IP an ein host gesendet das alle anderen scripte
automatisch abholen. Ziel soll sein das beim Groskunden keiner der Server die entsprechenden IP auf den gelogten dienst zulässt.
Man könnte auch sagen Abuse-Spam sender IP Block Service.


So kommt schon eine grosse menge an IP heraus die dan Automatisch in der Blacklist eingetragen sind. Macht man darus einen verbund von Server kann das durchaus wirkung zeigen.

 

[TCM]

So kommt schon eine grosse menge an IP heraus die dan Automatisch in der Blacklist eingetragen sind. Macht man darus einen verbund von Server kann das durchaus wirkung zeigen.

ich verwette nen zehner, dass das ganze dann anfaellig fuer spoofing ist und froehlich dns-server, default gateways und sonstige blockt.

wenn ich schon hoere "ip-adresse wird irgendwohin geschickt". wie wird die denn dahin geschickt und wie unterscheidet der empfaenger legitime absender von zwielichtigen?

was glaube ich mal ganz interessant waere zu erfahren: wenn du "kunden" hast, was bietest du denn an und wo? nicht dass man aus versehen auch dort kunde wird. sorry, aber der ganze thread strotzt nicht gerade vor professionalitaet.

 

[delmo]

moin

das klingt vielleicht jetzt ein bischen bescheuert aber
hast du schon mal das banner der ssh 2 aktiviert?

das ist voll das hammerding diese funktion zeigt vor der pw abfrage
einen asci text zb. |2|3453 |<1(|< M$ 4553s und ueber die haelfte aller
brute forcer greifen voll ins klo wenn ich banner aktiv habe komme ich nicht mal mehr mit gftp rauf.

greetz delmo

 

[Daniel Seuffert]

@ Rabadag: Beim besten Willen, Du drehst dich beständig im Kreise imho und kämpfst mit Symptomen ohne eine brauchbare Lösung prinzipbedingt finden zu Können, lass es bitte und beherzige die bereits gemachten Vorschläge.

 

[Rabadag]

@ Rabadag: Beim besten Willen, Du drehst dich beständig im Kreise imho und kämpfst mit Symptomen ohne eine brauchbare Lösung prinzipbedingt finden zu Können, lass es bitte und beherzige die bereits gemachten Vorschläge.

Naja lassen wirs..

bringt nichts.

 

[lars]

@Rabadag:
Hmm, hier mein finaler Vorschlag zur Lösung deiner eher wolkig umschriebenen Probleme:
-Perl
-google: log file analysis
-http://sial.org/howto/logging/swatch/
-/usr/ports/security/swatch

Mit diesen Komponenten solltest du deine "Lösung" zusammenbasteln können.

 

[kili]

Mich nervt's auch ;-)

Moin,

auch, wenn das Thema wirklich zur Genuege diskutiert wurde: mich nerven diese daemlichen Scriptkiddie-Angriffe auch, weil sie mir mein schoenes authlog verhunzen.

Deshalb habe ich (auf OpenBSD, aber FreeBSD hat IIRC inzwischen ja auch pf) mal ungefaehr folgende Regeln in mein pf.conf geschoben (in Wirklichkeit ist noch mehr drin, aber das ist an dieser Stelle egal):

table <scriptkiddies> persist
pass in proto tcp from any to ($ext_if) port ssh keep state \
        (max-src-conn 10, max-src-conn-rate 10 / 120, overload <scriptkiddies>)
block in proto tcp from <scriptkiddies> to any

Das ganze ist eher als Spielerei zu sehen und ist nicht wirklich gut, weil noch eine zusaetzliche Magie noetig ist, die geblockte IPs irgendwann auch mal wieder aus der Table rauswirft. Vor allem: es bringt keine zusaetzliche Sicherheit! Lediglich die Messages in authlog sollten etwas weniger werden.

Und nun bin ich mal gespannt, wann ich mich das erste mal selbst aussperre :-)

ps: wie gesagt, OpenBSD. Falls FreeBSD eine halbwegs aktuelle Version von pf hat, sollte es da aber auch gehen.

 

[Bummibaer]

bau en vpn druf, mach ssh nur über lo0 zugänglich und gut is oder aber benutze Port Knocking (z.B. doorman)