Script kiddies

[Neroz999]

Servus Männers,

ich habe da ein kleines Problem. Habe jetzte wieder seit längeren bei mir aufn root
im FRZ probleme mit kiddies die meinen sie müssen da mal alle User ausprobieren mit verscheidenen PW's. Logs sind ewig lang.

Es muss doch a tool geben was sagt, wenn mehr als 2 anfragen in 3sek. dann mach ich dicht !

Hab net die angst das jemand meine PW's rausfindet. Hab aber auch kein bock das ich versuchsserver bin

achja falls mal jemand schaun will...

debtux2.neroz999.de is der Host

[nil]

Hast du die IP-Adressen der Übeltäter. Dann könntest Du doch mit iptables die IPs automatisch verbieten. Einfach per CRON die Logs durchgehen und die Filterregeln entsprechend erweitern, hätte doch was. Sonst ist der Aufwand sinnlos, denn wenn du z.B. das Sperren von Accounts zulässt, so können diese Kiddies die Accounts sperren.
Kannst ja auch nur eine Authentisierung über Keys zulassen, dann aber bitte den eigenen SSH-Key mit Passphrase sichern. Oder nutzt du immer den gleichen Provider zum Zugriff, dann erlaube SSH nur von diesem Provider-Bereich.
Ach ja: sind die Namen denn so intuitiv, oder welche Accounts werden versucht? root sollte sich erst gar nicht anmelden dürfen.

[Savar]

schau dir mal "limit" von iptables an:
http://www.linuxguruz.com/iptables/howt ... WTO-6.html

[finupsen]

auch ganz nett -> http://fail2ban.sourceforge.net/

[herrchen]

wenn es sich um "ssh" handelt, lege ihn einfach auf einen hohen port.
ich habe seit jahren *keinen* fehlversuch in den logs *diverser* rechner.

herrchen

[Neroz999]

jo denke auch das ich evtl einfach den SSH port auf nen adneren lege.
Das andere is glaube ich zu hoher aufwand, zb. nicht notwendig.
Aber mal schaun werde die sache mal Anschaun.

Danke an alle für die schnellen Tipps


PS: es wurden einfache namen bzw. system user augewählt wie www,mysql usw

[nil]

Naja, wenn Script-Kiddies nmap und co nicht kennen, kann man gerne den Port höher legen. Kann mir gar nicht vorstellen, dass Leute wirklich daran Spass haben. Kannst nicht mal einen Ausschnitt aus deinen Logs posten, würden mich mal interessieren. IPs kannst ja ändern.

[iagm]

Das ganze sieht dann so aus (Hostnamen und IP-Adressen geändert): http://nopaste.debianforum.de/1479

Ich hab am Ende nur die zig verschiedenen Namen (beliebte englischsprachige Vornamen), die ausprobiert wurden, weggestrichen, damit's ins nopaste passt.

iagm

[GaRdoHq]

Das sieht ganz nach ner BruteForce Attacke aus. Das wird mit tools wie z.B. John the Ripper gemacht, wobei grosse Wörterbücher angegeben werden, die einfach durchbrobiert und kombiniert werden. Wenn du starke Passwörter verwendest. Gross-, Kleinbuchstaben, Sonderzeichen und zahlen kombiniert und dann noch ein Delay für den Login einrichtest. Z.B. 3 Sekunden Wartezeit zwischen Fehlversuchen, dann haben diese Attacken eigentlich keine Chance.

[GaRdoHq]

Dieses Programm kann dir helfen. Es blockiert automatisch temporär BruteForce Angreifer über ihre IP-Adresse.

http://sourceforge.net/projects/denyhosts/

[mauser]

hi,
also ich kann nur davon abraten, ip's zu blacklisten. imho ist das auch alles zu viel aufwand und ein zu hohes risiko, normale user auszusperren. wie herrchen schon sagte, einfach ssh auf nen anderen port legen. du kannst den dann einfach in die config datei des ssh clients reinschreiben, so dass du keinen zusatzaufwand beim einloggen hast. bei mir funkioniert das auch super, fahre das konzept auf mehreren servern und habe seitdem keine probleme mehr gehabt. ich dachte früher auch immer, das die die ports ja ganz einfach mit nem scanner feststellen können, aber das dauert verm. einfach zu lange. zumindest kann ich es mir nur so erklären. ip's sperren ist nur sinnvoll, wenn du wirklich ernstzunehmende angriffe hast und es um leben oder tod geht also dann, wenn der angriff über einen ganzen tag geht oder sowas und das öfter vorkommt. ich habe immer noch so kleine sachen eingebaut wie ein delay von ein paar sekunden zwischen den fehlgeschlagenen logins, damit man die zahl der loginversuche etwas in grenzen halten kann. macht aber nur wirklich sinn wenn man immer nur 1 login gleichzeitig erlaubt..
mfg
mauser

[finupsen]

....also ich kann nur davon abraten, ip's zu blacklisten. imho ist das auch alles zu viel aufwand ....

temporär blacklisten ist schon ok und der aufwand beschränkt sich lediglich auf ein:
"apt-get install fail2ban" und ein blick in die conf ...

.....also dann, wenn der angriff über einen ganzen tag geht oder sowas und das öfter vorkommt.....

fail2ban verschickt pro gebannte ip eine info-mail an eine beliebige adresse, daher weiss ich,
daß es ca 3-10 angriffe/tag sind (allein nur ssh).

Also ich finde das insgesamt schon sehr sinnvoll ...

[blackm]

Also was 100% gegen Script kiddies hilft ist, ssh auf einen anderen Port zu legen. Seit ich das gemacht habe, habe ich nicht einen fehlgeschlagenen Login Versuch gehabt.

bye, Martin

[pegasus26]

hallo!

Ich habe gerade wegen eines anderen Problems mal in die auth.log geschaut und war geschockt. Siehe oben. Unglaublich viele Versuche in unglaublich kurzer zeit - alle von 3 verschiedenen ip's, zeitlich auch noch alphabetisch geordnet! Und komische ip's auch noch: sind alle 210.[...] bzw. 218.[...] Ich hab vom dsl-Provider immer ne 8x.[...]
Weiß jemand wo die her kommen? Nmap bleibt übrigens hängen wenn man sie scannt, obwohl sie pingbar sind...
ich habe den port wie hier empfohlen geändert - hoffe das Hilft

mfg, pegasus

[mauser]

hi pegasus,

das ist nichts ungewöhnliches. woher die versuche kommen kannst du z.b. mit dem programm "whois" feststellen. meine kommen meistens aus korea. ich hatte auch schonmal einem admin eines servers geschrieben, er hat dann gesagt das da wohl ein rootkit am werk war etc. .. aber das kann natürlich keiner wirklich nachvollziehen..
mfg
mauser

[pegasus26]

Hallo!

Korea! Hanyeong College... (Aber auch andere) Jetzt weiß ich auch, warum man die script kiddies nennt
Ich habe jetzt mal alle ip's abgefragt, und festgestellt, dass man sich bei den Betreibern beschweren kann, z.B.: https://abuse.t-ipnet.de/cgi-bin/abuse.pl
V.a. interessehalber: Bringt das was, hat das schonmal jemand gemacht, oder isses absolute Zeitverschwendung?

grüsse pegasus

[herrchen]

oder isses absolute Zeitverschwendung?

ja.
es ürde nur dann sinn machen, wenn immer die gleiche IP über einen längeren zeitraum versucht zugriff auf dein system zu bekommen.
was sollte der provider tun? port 22 sperren?

herrchen

[mauser]

hi,

wie gesagt, beschwert habe ich mich schonmal, gebracht hats nix... ausser das man sich mal mit nem netten admin aus korea unterhalten kann ich wurde dann an eine andere institution verwiesen, ich glaube es war sogar eine staatliche behörde, die zentral für die abuses zuständig wär. komische sache. naja man kann halt nie nachvollziehen, was da alles so passiert..
mfg
mauser

[pegasus26]

hallo!

Es waren immerhin zwei Schulen/Unis dabei. Eiine Beschwerde brächte da natürlich nur was, wenn einer von den Rotzlöffeln persönlich am Werk war Wenn an meiner Uni jemand so ne Nummer an ner Workstation abziehen würde, bekäm' er betstimmt eine aufs Dach - Die Typen vom Rechenzentrum machen ja schon bei zu hohem Traffic Ärger...
Ich habe seit der Verlegung des Ports laut log auch keine Gäste mehr. Ein Scan mit nmap (einfach "nmap <hostname>") brachte komischerweise das Ergebnis, dass Port 22 als "closed" angezeigt wurde, und der Ersatzport nicht auftauchte...

grüsse, pegasus

[herrchen]

Ein Scan mit nmap (einfach "nmap <hostname>") brachte komischerweise das Ergebnis, dass Port 22 als "closed" angezeigt wurde,

was ist daran komisch? sshd lauscht doch nicht mehr an dem port.

und der Ersatzport nicht auftauchte...

der trick besteht darin, keinen der "well known ports" zu verwenden.
es werden fast nie *alle* ports gescannt (zeitaufwändig).

herrchen

[pegasus26]

hi!
Nmap scannt tatsächlich nur die "well-known Ports". Da alle anderen filtered sind, isses nicht komisch ... und ein -p 1-65535 dauert tatsächlich ne Weile...
mfg