|
Muuhmann
Anmeldungsdatum:
9. März 2008
Beiträge: 22
|
Hallo leute, ich habe vor ein paar Tagen das erste mal einen Linux-Server aufgesetzt, neuste Ubuntu-Server Version. Auf dem Server laufen im Moment in der "Urkonfiguration", also noch nichts eingestellt, Open-SSH, Apache mit PHP, MySQL, PostgreSQL und ProFTPd.
Urkonfiguration trifft auf den SSH Dienst nicht zu: Hier habe ich root-access untersagt und nur zugang mit einem auth-key erlaubt.. nun habe ich bei meinem Router (WRT54GL mit Tomato) auch einen SSH am laufen und mir mal den Log angeschaut und mit erschrecken solche Meldungen finden müssen: May 22 02:44:06 Router authpriv.info dropbear[13280]: Child connection from 87.218.213.23:2853
May 22 02:44:10 Router authpriv.info dropbear[13280]: exit before auth: Exited normally
May 22 03:42:05 Router syslog.info -- MARK --
May 22 04:42:05 Router syslog.info -- MARK --
May 22 05:42:05 Router syslog.info -- MARK --
May 22 06:42:05 Router syslog.info -- MARK --
May 22 07:42:05 Router syslog.info -- MARK --
May 22 08:42:05 Router syslog.info -- MARK --
May 22 09:32:51 Router authpriv.info dropbear[13350]: Child connection from 87.139.96.90:12479
May 22 09:32:51 Router authpriv.info dropbear[13350]: exit before auth: Exited normally
May 22 09:42:05 Router syslog.info -- MARK --
May 22 10:42:05 Router syslog.info -- MARK --
May 22 10:45:42 Router authpriv.info dropbear[13361]: Child connection from 87.139.96.90:12454
May 22 10:45:42 Router authpriv.info dropbear[13361]: exit before auth: Exited normally
May 22 11:39:06 Router authpriv.info dropbear[13368]: Child connection from 87.139.96.90:1232
May 22 11:39:06 Router authpriv.info dropbear[13368]: exit before auth: Exited normally
May 22 11:42:05 Router syslog.info -- MARK --
May 22 12:11:05 Router authpriv.info dropbear[13373]: Child connection from 92.114.134.179:4114
May 22 12:11:06 Router authpriv.info dropbear[13373]: exit before auth: Exited normally
May 22 12:21:18 Router authpriv.info dropbear[13376]: Child connection from 92.114.134.179:1107
May 22 12:21:19 Router authpriv.info dropbear[13376]: exit before auth: Exited normally
May 22 12:42:05 Router syslog.info -- MARK --
May 22 12:56:45 Router authpriv.info dropbear[13381]: Child connection from 87.139.96.90:1172
May 22 12:56:45 Router authpriv.info dropbear[13381]: exit before auth: Exited normally
May 22 13:42:05 Router syslog.info -- MARK --
Also versucht doch tatsächlich jemand auf meinen Router zuzugreifen...
Könnte das daran liegen, dass ich mit DynDNS arbeite? Also über xxx.dyndns.org ist mein Router-SSH erreichbar. Da ich aber auch den Server aus dem I-Net erreichbar machen möchte, habe ich jetzt Angst, dass die auch auf diesen zugreifen können.
Wie kann ich diesen also best möglich absichern? Vielen Dank schonmal für eure Tipps =)
|
|
Gwen-Dragon
Anmeldungsdatum:
4. August 2008
Beiträge: 189
|
Warum greifst du denn nicht lokal auf deinen Router zu? Muss SSH auch von Außen erreichbar sein? Steht der Router nicht bei dir im Haus?
Oder machst du im Router irgendwelche Portweiterleitungen von Außen nach Innen? Ich würde jeden externen Zugriff auf alle routerinternen Schnittstellen verbieten.
|
|
Muuhmann
(Themenstarter)
Anmeldungsdatum:
9. März 2008
Beiträge: 22
|
den SSH-Dienst auf dem Router habe ich damals eingerichtet um meinen PC von außen zu booten, per WOL.. Ich habe bis jetzt noch keine andere Möglichkeit gefunden meinen PC von außen ohne SSH zu booten. Wenn es hier sicherere Methoden gibt, bitte ich um Vorschläge. Das gleiche würde ich dann übrigens auch gerne mit dem server machen.. ist also nur ein "On-Demand"-Server, aber trotzdem möchte ich ihn sicher wissen. Ich sitze insgesamt hinter 2 Routern, einmal ein Gigaset, das die Verbindung zum I-Net herstellt und zum 2. der WRT54GL der mich mit WLAN versorgt.
Im Gigaset ist die Port-Weiterleitung zum WRT54GL eingestellt. Port 443 ist von außen frei, da ich damals als ich das WOL genutzt habe, hinter einem Proxy gefangen war, der nur diesen Port nach außen offen hatte..
|
|
Blattlaus
Anmeldungsdatum:
29. März 2006
Beiträge: 1399
|
Ach, nun mach dir mal nicht ins Hemd, wegen der handvoll Zugriffs versuche. Mein Rootserver hatte so ca 1-2 tausend davon am Tag (kein fail4ban oder sonstigen schmarrn). Lass Zugriffe nur per Key zu oder wähl ein hinreichend langes Passwort. Kein Mensch würde eine gezielte Attacke auf ein Passwort mit 8+ Stellen fahren. Und zweimal nicht auf rein zufällige Passwörter. Und dreimal nicht auf Dial-In Netzbereiche wo ohnehin (wenn überhaupt) nur langweilige, schlecht angebundene Homeserver rumstehen.
|
|
mreczio
Anmeldungsdatum:
1. Mai 2006
Beiträge: 1820
Wohnort: Essen
|
Sehe ich auch so.
Das dein Router angegriffen wird ist vollkommen normal.
|
|
redknight
Moderator & Supporter
Anmeldungsdatum:
30. Oktober 2008
Beiträge: 21860
Wohnort: Lorchhausen im schönen Rheingau
|
Naja, "angegriffen" ist schon zu stark gesagt. Sieben Verbindungsversuche in 10 STunden von zwei IPs würd ich drauf schieben, dass einer seinen eigenen DynDNS-Account nicht ordentlich updatet und deshalb noch über einen veralteten Record bei dir ankommt. Kein Grund zur Panik bei deiner Authentifizierungsmethode.
|
|
Muuhmann
(Themenstarter)
Anmeldungsdatum:
9. März 2008
Beiträge: 22
|
hahah ok, das beruhigt etwas.. ich würde trotzdem gerne ein paar Tipps zur Absicherung haben, z.B. so sachen, wie: Was muss ich bei der FTP konfiguration beachten? Was bei der Apache konfiguration? Will nich, dass mein Server irgendwann zu so einem Botnetzwerk, oder wie die heißen, gehört.. Hab die IPs (also aktuellere) übrigens mal zurückverfolgt mit so einer WHOIS abfrage.. einmal kam die IP aus Brasilien, das andere mal aus Peru ;D Achja:
Lohnt es sich öfters mal die DynDNS Domain zu wechseln, um sowas zu verhindern? Ich wüsste nicht, woher diejenigen meine DynDNS Domain haben sollten.. die dürfte eigentlich keinem bekannt sein.. und über google findet sich auch nichts..
|
|
Lunar
Anmeldungsdatum:
17. März 2006
Beiträge: 5792
|
Muuhmann schrieb: ich würde trotzdem gerne ein paar Tipps zur Absicherung haben, z.B. so sachen, wie: Was muss ich bei der FTP konfiguration beachten? Was bei der Apache konfiguration?
Darüber gibt es nun wirklich genug Information im Netz, eine Google-Suche oder ein Besuch beim TLDP sollte dir weiterhelfen. Allerdings solltest du dir auch klar darüber werden, welche Dienste du wirklich benötigst, der Nutzen von FTP ist beispielsweise eher fraglich.
[...] Ich wüsste nicht, woher diejenigen meine DynDNS Domain haben sollten.
Es ist doch gar nicht gesagt, dass der "Angreifer" deine IP durch das Auflösen deiner DynDNS Domain erhalten hat.
|
|
Muuhmann
(Themenstarter)
Anmeldungsdatum:
9. März 2008
Beiträge: 22
|
die Dienste die ich installiert habe, brauche ich auch 😉 Wie könnte er sonst meine IP bekommen haben? ich mein, ich zocke nichts, ich surfe eigentlich nur wenn ich online bin..
treibe mich nicht auf einschlägigen Seiten rum, etc.
|
|
Lunar
Anmeldungsdatum:
17. März 2006
Beiträge: 5792
|
Die IP ist kein Geheimnis, sie kann auf vielen verschiedenen Wegen zum Angreifer gelangt sein, sei es durch automatisierte Scans deines Subnetzes, oder durch alte DNS-Einträge, oder ...
|
|
Muuhmann
(Themenstarter)
Anmeldungsdatum:
9. März 2008
Beiträge: 22
|
aber die ip wird doch täglich geändert..
|
|
Lunar
Anmeldungsdatum:
17. März 2006
Beiträge: 5792
|
Ja und? Automatisierte Scans von Subnetzen großer Dailin-Provider sind auch ein tägliches Ereignis, davon abgesehen zeigt der Log-Ausschnitt in deinem ersten Posting auch nur die Ereignisse eines Tages.
|
|
Muuhmann
(Themenstarter)
Anmeldungsdatum:
9. März 2008
Beiträge: 22
|
ok, alles klar 😉 wusst ich nich.. Hab den ausschnitt extra gekürzt.. ich poste hier doch nich über 1k Zeilen aus dem log.. liest doch eh keiner ^^
|
|
bongobong
Anmeldungsdatum:
12. Dezember 2008
Beiträge: 1820
Wohnort: Hamburg
|
hat wer trotzdem noch zum Ende ein paar Tipps/Links zu dem Thema Server absichern?
|
|
prometheus0815
Anmeldungsdatum:
12. Juni 2006
Beiträge: 7478
|
Lunar hatte schon ganz recht. Schau mal hier. 😉
|