ssh: Einbruchsversuche abwehren

[hupfdule]

Ich habe aller paar Tage solche Logeinträge auf meinem Server:

Code: Alles auswählen

May  1 06:02:07 pendragon sshd[23236]: Illegal user aurel from ::ffff:211.22.73.67
May  1 06:02:13 pendragon sshd[23464]: Illegal user attila from ::ffff:211.22.73.67
May  1 06:02:18 pendragon sshd[23466]: Illegal user atta from ::ffff:211.22.73.67
May  1 06:02:23 pendragon sshd[23468]: Illegal user atsuko from ::ffff:211.22.73.67
May  1 06:02:29 pendragon sshd[23470]: Illegal user atkin from ::ffff:211.22.73.67

Versucht also jemand durch brute-force in mein System einzudringen. Nun würde ich das gerne unterbinden, etwa nach einer bestimmten Anzahl derartiger Versuche in bestimmter Zeit diese IP für eine Weile gänzlich sperren. Aber wo setzt man da am besten an?

Die einzigen Stellen, die mir einfallen, wären pam und die Firewall. Da die Firewall ja nicht mitbekommt, was ein fehlgeschlagener Loginversuch ist, tendiere ich also eher zu pam. Gibts da eine Möglichkeit etwas derartiges umzusetzen?

[feltel]

Schau Dir mal das Paket denyhosts an. Das macht genau das was Du suchst.

[meandtheshell]

etwa nach einer bestimmten Anzahl derartiger Versuche in bestimmter Zeit diese IP für eine Weile gänzlich sperren. Aber wo setzt man da am besten an?

du kannst
- fail2ban (siehe apt-cache show )verwenden oder aber gleich
- portknocking http://en.wikipedia.org/wiki/Port_knocking

markus

[startx]

Versucht also jemand durch brute-force in mein System einzudringen.

wobei man schon sagen sollte dass solche versuche eher alltag bei webservern sind. in der regel eher plumpe versuche die standard usernamen zu versuchen, z.b. ob jemand eine shell für ftp/anonymous etc aufgelassen hat. bei der benutzung von guten passwörtern und / oder ssh keys sollte das kein problem sein da es keine aussicht auf erfolg hat/haben sollte.

es sind ja auch eher wörterbuchangriffe als brute-force.

das soll dich natürlich nicht davon abhalten, die oben vorgeschlagenen tools auszuprobieren.

[meandtheshell]

es sind ja auch eher wörterbuchangriffe als brute-force.

AFAICT - gibt es seit einigen Monaten im Netz Datenbestände die _alle_ möglichen hash values _aller_ möglichen (bin mir nicht mehr ganz sicher mit der Stellenzahl) bis 8 oder 9 stellige Stings enthalten - Zeichenbasis ist Unicode 16Bit

markus

[startx]

kann sein, aber

attila aurel attkin

schaut für mich eher nach nem wörterbuch aus

Datenbestände die _alle_ möglichen hash values

korrigier mich wenn ich mich irre, aber wieso braucht man da einen datenbestand.
_alle_ möglichen werte kann man doch eigentlich so abzählen, oder versteh ich dich falsch?

[meandtheshell]

kann sein, aber

attila aurel attkin

schaut für mich eher nach nem wörterbuch aus

ja - richtig da hast du recht - ich sprach halt von Identifizierung per Key was denke ich fast mehr verwendet wird - und ja nat. kann man beides machen - anyway ...

Datenbestände die _alle_ möglichen hash values

korrigier mich wenn ich mich irre, aber wieso braucht man da einen datenbestand.
_alle_ möglichen werte kann man doch eigentlich so abzählen, oder versteh ich dich falsch?

Theoretisch kann das jeder mit der nötigen Software. Praktisch ist es so, das es eine Firma im Auftrag des DOD (dann frage ich mich wie kann sowas ins Netz kommen) macht. Die Rechenleistung ist das was Otto Normalverbraucher davon abhält. Die haben seit 4 Jahren einen Cluster in der Größenordnung von ca. 50 nodes im 24/7 Betrieb laufen.

markus

[meandtheshell]

kann sein, aber

attila aurel attkin

schaut für mich eher nach nem wörterbuch aus

ja - richtig da hast du recht - ich sprach halt von Identifizierung per Key was denke ich fast mehr verwendet wird - und ja nat. kann man beides machen - anyway ...

Datenbestände die _alle_ möglichen hash values

korrigier mich wenn ich mich irre, aber wieso braucht man da einen datenbestand.
_alle_ möglichen werte kann man doch eigentlich so abzählen, oder versteh ich dich falsch?

Theoretisch kann das jeder mit der nötigen Software. Praktisch ist es so, das es eine Firma im Auftrag des DOD (dann frage ich mich wie kann sowas ins Netz kommen) macht. Die Rechenleistung ist das was Otto Normalverbraucher davon abhält. Die haben seit 4 Jahren einen Cluster in der Größenordnung von ca. 50 nodes im 24/7 Betrieb laufen.

Wie kommt man zu einem Hashvalue:
man hat
- einen key
- eine hashfunktion h(x)
hashvalue = h(key)

Da die Laufzeit linear mit der Größer der Eingabeinstanz (aller möglichen Kombiantionen eines auf einen 16Bit Alphabets beruhenden 8 etc. stelligen Keys ist) kannst du dir vorstellen was das an Rechenleistung erfordert um für jede Instanz den hashvalue zu berchnen. Die Hashfunktion hier ist keine triviale Divisions Restmethode alla h(k) = k mod m oder so

markus

[hupfdule]

wobei man schon sagen sollte dass solche versuche eher alltag bei webservern sind. [...] es sind ja auch eher wörterbuchangriffe als brute-force.

Ja, stimmt schon. Ich mach mir da auch nicht wirklich Sorgen drum. Würde das nur gerne trotzdem etwas offensiver abwehren.

Portknocking scheint mir für mein Ziel etwas unhandlich (schließlich müsste jeder, der auf den Server zugreifen darf, die entsprechende Knock-Sequenz benutzen). fail2ban und denyhosts scheinen das richtige zu sein.

[I.C.Wiener]

Moin,

sollte man bei solchen Vorkommnissen nicht den Serverbetreiber ausfindig machen und ihm mitteilen, dass er ein Problem hat?
Ich meine, die meisten Rechner, von denen so etwas ausgeht, sind doch sicher gekapert.

MfG

[feltel]

Moin,

sollte man bei solchen Vorkommnissen nicht den Serverbetreiber ausfindig machen und ihm mitteilen, dass er ein Problem hat?
Ich meine, die meisten Rechner, von denen so etwas ausgeht, sind doch sicher gekapert.

Von der Sache her ja, aber das ist meist ein Kampf gegen Windmühlen.

[hupfdule]

sollte man bei solchen Vorkommnissen nicht den Serverbetreiber ausfindig machen und ihm mitteilen, dass er ein Problem hat?

Von der Sache her ja, aber das ist meist ein Kampf gegen Windmühlen.

Außerdem ist das nicht ganz einfach. Das sind meist dynamische IPs. Ich bekomme also nicht ohne weiteres heraus, wer der Besitzer des Servers ist. Ich müsste mich dementsprechend an den ISP wenden. Dieser müsste auf Grund der IP heraus finden, von welchem Kunden dieser Scan ausgegangen ist, müsste diesen Kunden benachrichtigen, etc....

[startx]

ist der reine versuch sich einzuloggen eigentlich strafbar?

[swiffer]

Hi,

ist der reine versuch sich einzuloggen eigentlich strafbar?

Ich denke das ist eine frage er Anzahl der fehlerhaften logins. Wenn Kontrollierte Angriffe ausgefuehert werden wuerde ich das Straftat deklarieren. Immerhin versucht jemand mit einer Axt deine Haustuer einzuschlagen...

Wenn allerdings die Anzahl der Fehlerhaften Logins nicht so enorm ist, und es von Dynamischen IP ausgeht ist das keine Straftat..verlaufen..etc

Um das grundlegende Problem von Fehlerhaften Logins in den griff zu bekommen reicht meistens auch den SSH Port auf irgendeinen hohen zu legen.

--
Gruß,
Stefan

[startx]

Wenn Kontrollierte Angriffe ausgefuehert werden wuerde ich das Straftat deklarieren. Immerhin versucht jemand mit einer Axt deine Haustuer einzuschlagen...

nein, die metapher passt meiner meinung nach nicht. es ist ja eher wie verschiedene schlüssel ausprobieren. ein dos angriff und auf den overflow warten, dass ist schon eher "einschlagen".

abgesehen davon braucht ne straftat irgendein gesetzt auf das es sich bezieht.

[I.C.Wiener]

Heute ist doch alles terrorismus, oder nicht?
Ich denke, dass man einen deutschen "Angreifer" bestimmt anzeigen kann. Da kenne ich die Gesetzeslage aber nicht.
Da, am aktuellen Beispiel, die IP aber aus Taiwan kommt, ist das schon schwieriger.

MfG

[daFreak]

Code: Alles auswählen

Das sind meist dynamische IPs. Ich bekomme also nicht ohne weiteres heraus, wer der Besitzer des Servers ist.

ich hab dazu ne frage und ne kleine idee... wär es möglich die leute die drauf zugreifen mit dyndns (oder konsorten) auszustatten und die addressen in die hosts.allow einzutragen?

oder ist das nicht möglich da ich dyndns nur so kenne, das ich über den hostname die ip auflösen kann aber nicht andersherum...

[meandtheshell]

Moin,

sollte man bei solchen Vorkommnissen nicht den Serverbetreiber ausfindig machen und ihm mitteilen, dass er ein Problem hat?
Ich meine, die meisten Rechner, von denen so etwas ausgeht, sind doch sicher gekapert.

Von der Sache her ja, aber das ist meist ein Kampf gegen Windmühlen.

FACK - das sehe ich ebenso - der Zeitliche und finanzielle Aufwand steht in keiner Relation zum evtl. Nutzen (wobei hier von Nutzen zu sprechen ).
IMHO ist das Beste ein Netz so herzurichten das von normlen Leuten keine Gefahr aus geht. Für den Rest der Brüder muss man dann ohnehin etwas wirklich lohnenswertes auf den Platten haben oder sonst einen ausergewöhnlichen Anzreiz haben. Ein highly skilled black hat macht sich nicht an Otto Normalverbrauchers Homeserver zu schaffen - der sucht sich angemessene Beute.
So oder so treffen dennoch meist Menschen aufeinander die sich mehr oder weniger ebenbürtig sind. Darin liegt für den Angreifer ja der Sinn oder das Ziel usw..

FAZIT
Ich würde sehen das du deinen Rechner ordenlich sicher machst, dann werden solche Dinge so gut wie gar nicht mehr vorkommen bzw. dir egal sein.

markus

[novalix]

hi,

mir ist letzlich folgendes rezept ueber den weg gelaufen:
http://www.debianslashrules.org/Hacking ... nners.html
nutzt das recent-modul von iptables und saeubert deine logfiles.
afaik sind die aktuellen scripts der angreifer nicht mehr < port:40000, so dass sie dir auch in dem bereich die logs zumuellen; auch wenn die trefferquote geringer ist.

ciao, niels

[rendegast]

Hallo hupfdule,


Schau Dir mal die Parameter 'MaxStartups' und 'LoginGraceTime' in 'man sshd_config' an, das könnte sein was Du suchst.
http://www.strassenprogrammierer.de/ssh ... p_363.html

[I.C.Wiener]

Schau Dir mal die Parameter 'MaxStartups' und 'LoginGraceTime' in 'man sshd_config' an, das könnte sein was Du suchst.
http://www.strassenprogrammierer.de/ssh ... p_363.html

Wenn ich Punkt 4 auf der Seite richtig verstehe, kann ich mich doch als "echter" Benutzer nicht mehr einloggen, wenn gerade jemand eine Brute-Force-Attacke auf meinen sshd laufen hat.

Diese Wahrscheinlichkeit steigt linear an, bis bei 10 offenen Verbindungen jeder weitere Verbindungsversuch zu 100% abgelehnt wird.

Oder verstehe ich das gerade falsch?

MfG

[meandtheshell]

hallo Leute,
das Thema hatten wir hier schon einmal - hatte ich vergessen - anyway ...
http://www.debianforum.de/forum/viewtopic.php?t=61112

markus

[hupfdule]

Schau Dir mal die Parameter 'MaxStartups' und 'LoginGraceTime' in 'man sshd_config' an, das könnte sein was Du suchst.
http://www.strassenprogrammierer.de/ssh ... p_363.html

Wenn ich Punkt 4 auf der Seite richtig verstehe, kann ich mich doch als "echter" Benutzer nicht mehr einloggen, wenn gerade jemand eine Brute-Force-Attacke auf meinen sshd laufen hat.

Klingt für mich auch so. Das scheint mir nicht die sinnvollste Option zu sein. Da machen fail2ban oder denyhosts schon mehr Sinn.