SSH Bruteforce Attacken

AmenRa

AmenRa

Unregistered User
Moin moin!

Vielleicht haben einige es ja schon in ihren Logs entdeckt: Der Bruteforcewahn geht um. Genaueres zu dem Thema gibts hier:

http://www.whitedust.net/article/27/Recent SSH Brute-Force Attacks/

Jedenfalls schaue ich grade in meine eigenen Logs rein und finde eine Unmenge an fehlgeschlagenen Loginversuchen vor, die mir langsam aber sicher alles zumuellen. Der Witz an der Sache ist, dass das auf meiner kleinen DSL Leitung passiert, was ziemlich nervig ist. Hat irgendjemand schon eine Loesung zu dem Problem?
 
Brauchst du den sshd auf deiner kleinen DSL-Leitung?
Ich hab den auch abgestellt bzw. auf Heimnetzwerk interne Zugriffe bschränkt.
 
Hintergrundrauschen. Was solls. Nutze SSH nut mit key+pw, dann ist das einzige Problem das Dein log eben "verschandelt" wird.
 
Code: 
(22:54:52) elessar@exxtasy: /var/log> sudo grep Invalid auth.log | wc -l
     512
(22:55:14) elessar@exxtasy: /var/log> sudo grep root auth.log | wc -l
      17
(22:57:07) elessar@exxtasy: /var/log> sudo head -1 auth.log
Jul 15 02:00:00 exxtasy newsyslog[30818]: logfile turned over due to size>1024K
Völlig normal....
whois die IP und schick dem Netblock-Owner ne Mail *hurra* Alternativ kannste gegen Windräder anrennen.... damit musst leben können.

Verwende ssh2-Protokoll-only, aktuelle sshd, public keys, deny root login und AllowGroups. Fertig und gut.

Über Ports verschieben verschiebst du das Problem nur, denn du weisst ja: telnet $host $port und der sshd begrüßt dich....
 
Also einfach eine schöne Username/Passwort Kombination aussuchen - Bei mir probieren auch einige auf mein System zu kommen, nur haben die noch keinen Versuche mit dem erlaubten Username ausgeführt. Die probieren es bei mir im Moment nur mit Standardusers z.B. root,mail,www,karl,klaus,...

Erst wenn es bei mir wirklich ernster wird werde ich etwas dagegen unternehmen :-)
 
Code: 
% gzcat /var/log/authlog.0.gz | grep -i root | wc -l
    6008
% grep -i root /etc/ssh/sshd_config
PermitRootLogin no

scheiss drauf!
 
Ich habe folgendes in /etc/pf.conf:

Code: 
ext_if="fxp0"
table <scriptkitties> persist
pass in proto tcp from any to ($ext_if) port ssh keep state \
        (max-src-conn 10, max-src-conn-rate 10 / 120, \
                overload <scriptkitties> flush global )
block return in log from <scriptkitties>

Das ist zwar kein echter Schutz, hilft aber, authlog klein zu halten. Ab und zu werfe ich dann mal einen Blick in die Tabelle und ins pflog und raeume bei Bedarf haendisch auf.
 
kili schrieb:
Code: 
ext_if="fxp0"
table <scriptkitties> persist
pass in proto tcp from any to ($ext_if) port ssh keep state \
        (max-src-conn 10, max-src-conn-rate 10 / 120, \
                overload <scriptkitties> flush global )
block return in log from <scriptkitties>
Zum Vergrößern anklicken....
ach das passiert, wenn man der gemeinen hauskatze nicht genug aufmerksamkeit widmet. jaja, erst die bruteforce-geschichten und dann die drogen, arbeitslosigkeit und der komplette absturz. erschreckend.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben