ubuntuusers.de

brute force attacken normal?

Status: Ungelöst | Ubuntu-Version: Nicht spezifiziert
Antworten |

canalegrande

Avatar von canalegrande

Anmeldungsdatum:
8. März 2006

Beiträge: 217

Wohnort: Horn

Habe neulich meinen hardy server ins netz gestellt und wundere mich über die hohe Anzahl von brute-force attacken innerhalb weniger Sekunden. Da gibts einen user aus Frankreich

rhost=laubervilliers-151-13-63-25.w217-128.abo.wanadoo.fr

der überr user=man, proxy, news, nobody ,mysql, list, lp, samba, irc, mail, ftp, games, daemon, list, bin und backup in den letzten Tagen hunderte male versucht hat einzubrechen. Wahrscheinlich ist das ein bot, weil manche Attacken im Sekundentakt kommen. Ist das normal? Kann man sich davor schützen? Soll man diesen abuse melden? Oder ist das einfach nur naiv gedacht und muss man mittlerweile damit leben?

comm_a_nder

Avatar von comm_a_nder

Anmeldungsdatum:
5. Februar 2006

Beiträge: 2533

Wohnort: Dresden

Ja, das ist normal. Für den Schutz davor gibt es einige Schlagwörter, die Dir da weiterhelfen könnten: * SSH Port auf irgendeinen Highport verlegen * Portknocking * Denyhosts * Fail2ban * Nur Authentifizierung mittels SSH-Key erlauben * Sicherstellen, dass Deine Passwörter stark genug sind * Logcheck Ignore Regel schreiben 😉

An die Abusestellen melde ich das bei den von mir betreuten Servern nur, wenn es ein Deutscher Provider ist und es eine feste IP betrifft. Dort hat man noch die Chance, dass sich da jemand regt. So ist zumindestens meine Erfahrung, nachdem ich dies mal eine ganze Zeitlang sehr streng gehandhabt hatte und wirklich jeden Furz gemeldet hab.

weau

Avatar von weau

Anmeldungsdatum:
22. Januar 2006

Beiträge: 99

Ich achte gar nicht mehr darauf, was in der apache error.log etc. steht. Der Spam wird ja auch immer größer... jeder Vollpfosten kann sich heute einen Rootserver organisieren, der dann auch ganz schnell in ein Botnetz eingereiht wird.

webrat

Avatar von webrat

Anmeldungsdatum:
4. Juni 2006

Beiträge: 79

Wohnort: nähe Rosenheim

Ich habe täglich ca 30 Hosts die via DenyHosts gesperrt werden. Also durchaus normal.

canalegrande

(Themenstarter)
Avatar von canalegrande

Anmeldungsdatum:
8. März 2006

Beiträge: 217

Wohnort: Horn

Vielen Dank für die Antworten, vor allem für die guten Tipps (ssh usw). Die Situation hat sich dramatisch verbessert. Kann auch verstehen, dass man abstumpft bei dieser Fülle an versuchten Einbrüchen. Auf jeden Fall brauche ich das Ding als Entwicklungsserver (via proftp) und so wie es ausschaut, läuft das Ding für einen Athlon 550 und 256 RAM wie geschmiert.

canalegrande

(Themenstarter)
Avatar von canalegrande

Anmeldungsdatum:
8. März 2006

Beiträge: 217

Wohnort: Horn

webrat schrieb:

Ich habe täglich ca 30 Hosts die via DenyHosts gesperrt werden. Also durchaus normal.

machst du das händisch?

webrat

Avatar von webrat

Anmeldungsdatum:
4. Juni 2006

Beiträge: 79

Wohnort: nähe Rosenheim

Nein, wie oben bereits erwähnt via DenyHosts. Zur Apache sicherung kann man auch noch mod_security und mod_evasive verwenden.

LoserKidJones

Anmeldungsdatum:
3. April 2008

Beiträge: 87

wie bekommt man solche Attacken eigentlich mit? Gibts da ne "Analyse-Software" für oder woran erkennt man sowas?

webrat

Avatar von webrat

Anmeldungsdatum:
4. Juni 2006

Beiträge: 79

Wohnort: nähe Rosenheim

Durch Ansehen bzw. Überwachung der Logfiles. DenyHost z.B. prüft eben auf fehlgeschlagene Auths. Wer sich gerne eigene Regeln definiert, der kann swatch oder ähnliches verwenden.

adun Team-Icon

Avatar von adun

Anmeldungsdatum:
29. März 2005

Beiträge: 8606

canalegrande schrieb:

Kann auch verstehen, dass man abstumpft bei dieser Fülle an versuchten Einbrüchen.

Das ist die wahre Gefahr und auch der Grund warum ich einen Portwechsel z.B. bei ssh nicht für überflüssig halte.

Lunar

Anmeldungsdatum:
17. März 2006

Beiträge: 5792

adun schrieb:

canalegrande schrieb:

Kann auch verstehen, dass man abstumpft bei dieser Fülle an versuchten Einbrüchen.

Das ist die wahre Gefahr und auch der Grund warum ich einen Portwechsel z.B. bei ssh nicht für überflüssig halte.

Naja, viel bringt das imho auch nicht. Zwar scheint da jeder andere Erfahrungen zu machen, aber ein Portscan ist nun auch keine Kunst und wird auch vor manchen Angriffsversuchen durchgeführt. Port Knocking dagegen ist mir persönlich zu umständlich und auf stark frequentierten Server eh nicht umzusetzen, während fail2ban immer das Risiko von DoS Angriffen birgt.

Ich sehe irgendwie nicht so den Sinn darin, SSH hinter fail2ban oder Portknocking zu verstecken, wo man ihn doch mit Public-Key-Authentifizierung auch so sicher betreiben kann. Zumal sie dank SSH-Agent doch auch die bequemste für den Admin ist (mit pam_ssh kann man sogar Single-Sigon für Desktops und Server umsetzen).

Antworten |