schutz vor hackangriff

[mario9000]

ich habe nur einen einen kleine Server an meinem DSL Anschluss den ich für ne VPN und als NAS brauche.

heute ist mir aufgefallen das mein DSL Anschluss überlastet ist. nach kurzer Überprüfung habe ich festgestellt das von verschiedenen IP-Adressen auf den SSH port zugegriffen wird. Da diese auf Russiche DSL-Anbiter generiert sind hab ich einfach alles ausgeschaltet.

Laut "top" ist aber nur 1 User (Ich) angemeldet gewesen. muss ich mir trotzdem sorgen machen denn ich habe einfach nur SSH installiert und alles auf Default gelassen.

Außerdem ist das Webinterface meines AP gesperrt weil das Password zu oft falsch eingegeben wurde. dass kann aber auch daran liegen das das Ding sehr alt ist und schon öfter Probleme gemacht hat.

[Saxman]

Hallo und Willkommen im Forum.

Dieses Grundrauschen was du beschreibst ist normal und gang und gäbe.
Wenn es keinen speziellen Grund für dich gibt den ssh server auf dem default Port zu haben verleg ihn auf einen hohen Port. Dann hast du vor sowas Ruhe und die Logs bleiben deutlich übersichtlicher.

[daniel74]

Eine einfache Möglichkeit ist schonmal, den SSH Port zu ändern, beispielsweise auf 22000 (Standard: 22). Viele dieser "Angriffe" laufen ohnehin automatisiert - "High Ports" oberhalb von 1024 werden selten probiert.

Weiterhin sollte ein komplexes Passwort verwendet werden - besser ist jedoch eine Public-Key Authentifizierung. Beispiel:
http://www.uibk.ac.at/zid/systeme/linux ... ickey.html

Auch kann man ggf. DenyHosts oder Fail2Ban verwenden.
http://denyhosts.sourceforge.net/
http://www.fail2ban.org/

[suno]

"High Ports" oberhalb von 1024 werden selten probiert.

die sog. high ports sind alle ports > 1023 also auch 1024

http://sunoano.name/ws/ssh.html#sshd_listening_port

[The Hit-Man]

schutz vor hackangriff

ich mag diesen ausdruck nicht ein hacker? ich würde es cracker nennen.

heute ist mir aufgefallen das mein DSL Anschluss überlastet ist.

noch schlimmer wird es sein, wenn du ne dyndns adresse hast. ich schaue in den logs von meinem router gar nicht mehr rein.

[uname]

Wenn Du schon VPN nutzt könntest du doch eigentlich auf direktes SSH von außen verzichten. Erlaube SSH nur über die Tunnel-IP-Adresse und von innen (LAN). Zudem kannst du den Port hochlegen oder auch nicht. Ich habe auf meinem VServer (SSH-Port 22) extra ein paar Scripte um Auswertungen darüber zu erstellen, von wo die Angriffe stattfinden. Sehr interessant

Für das erfolgreiche Anmelden kannst du mal

Code: Alles auswählen

last

eingeben. Ein Angreifer kann das nur ändern, wenn er "root" geworden ist. Auf meinem System dürfen sich aufgrund von "pam_listfile.so" nur zwei Benutzerkennungen anmelden, natürlich gehört "root" nicht dazu. Fehlversuche mit den anderen beiden Kennungen habe ich noch nicht ermittelt, gehören wohl nicht zum Angriffsmuster. "root" darf sich bei mir nur per SSH-Key anmelden (/etc/ssh/sshd_config), was ich für mein Backup benötige. Ok, könnte auch openVPN nutzen, was ich auch installiert habe, aber was solls, ist eben nicht so.

Das Ändern des SSH-Ports hat meiner Meinung nach vor allem dann einen Sinn, wenn es unbekannte Sicherheitslücken im SSH-Server gibt. Dann wird man nicht so schnell mit diesem dann unsicheren Dienst gefunden.