Ständige Einbruchsversuche

[bmp]

Hallo,

ich habe mal ne kleine Frage an euch.

Und zwar wird mein Rooty seit ca. 5 Tage täglich mehrmals versucht zu knacken.

Es schein so alls sei irgendwo ein Schild angebracht versucht mein User / PW zu erraten.

Meistens sind es pro Tag ca 40-60 Versuche mein User / PW per SSH zu erraten. Durch die Zeitabstände >10sec vermute ich das dort wirklich kleine Jungs versuchen das zu knacken und kein Script.
Die IP ist täglich eine andere aber immer von anderen Rootservern.

Einen Deutschen Rootserverbesitzer habe ich schon angeschrieben was das denn wohl werden sollte. Seine Antwort war das man Ihm sein Rootserver geknackt hat.

Eigendlich mache ich mir keine Sorgen um mein PW da es sicher sein sollte.

Aber habt Ihr auch täglich solche angriffe ?

mfg

Marcus Berger

[captaincrunch]

Und zwar wird mein Rooty seit ca. 5 Tage täglich mehrmals versucht zu knacken.

Was sich wie genau in den Logs bemerkbar macht?

Aber habt Ihr auch täglich solche angriffe ?

Nö...wahrscheinlich alleine aus dem Grunde aber schon nicht, da ich keine passwortbasierte Authentifizierung nutze. ;)

[bmp]

Und zwar wird mein Rooty seit ca. 5 Tage täglich mehrmals versucht zu knacken.

Was sich wie genau in den Logs bemerkbar macht?

Jul 18 19:48:10 essen112 sshd[23584]: Failed password for root from ::ffff:217.58.140.2 port 2687 ssh2
Jul 18 19:48:15 essen112 sshd[23586]: Failed password for root from ::ffff:217.58.140.2 port 2814 ssh2
Jul 18 19:48:17 essen112 sshd[23588]: Failed password for root from ::ffff:217.58.140.2 port 2915 ssh2
Jul 18 19:48:21 essen112 sshd[23590]: Failed password for root from ::ffff:217.58.140.2 port 2966 ssh2
Jul 18 19:48:26 essen112 sshd[23592]: Failed password for root from ::ffff:217.58.140.2 port 3074 ssh2
Jul 18 19:48:31 essen112 sshd[23595]: Failed password for root from ::ffff:217.58.140.2 port 3185 ssh2
Jul 18 19:48:34 essen112 sshd[23598]: Failed password for root from ::ffff:217.58.140.2 port 3318 ssh2
Jul 18 19:48:37 essen112 sshd[23600]: Failed password for root from ::ffff:217.58.140.2 port 3383 ssh2
Jul 18 19:48:41 essen112 sshd[23602]: Failed password for root from ::ffff:217.58.140.2 port 3464 ssh2
Jul 18 19:48:46 essen112 sshd[23607]: Failed password for root from ::ffff:217.58.140.2 port 3563 ssh2
Jul 18 19:48:50 essen112 sshd[23613]: Failed password for root from ::ffff:217.58.140.2 port 3668 ssh2
Jul 18 19:48:55 essen112 sshd[23615]: Failed password for root from ::ffff:217.58.140.2 port 3794 ssh2
Jul 18 19:49:01 essen112 sshd[23617]: Failed password for root from ::ffff:217.58.140.2 port 3896 ssh2
Jul 18 19:49:06 essen112 sshd[23620]: Failed password for root from ::ffff:217.58.140.2 port 4028 ssh2
Jul 18 19:49:10 essen112 sshd[23622]: Failed password for root from ::ffff:217.58.140.2 port 4147 ssh2
Jul 18 19:49:13 essen112 sshd[23624]: Failed password for root from ::ffff:217.58.140.2 port 4249 ssh2
Jul 18 19:49:16 essen112 sshd[23626]: Failed password for root from ::ffff:217.58.140.2 port 4317 ssh2
Jul 18 19:49:19 essen112 sshd[23628]: Failed password for root from ::ffff:217.58.140.2 port 4393 ssh2
Jul 18 19:49:23 essen112 sshd[23630]: Failed password for root from ::ffff:217.58.140.2 port 4477 ssh2
Jul 18 19:49:29 essen112 sshd[23634]: Failed password for root from ::ffff:217.58.140.2 port 4603 ssh2
Jul 18 19:49:32 essen112 sshd[23636]: Failed password for root from ::ffff:217.58.140.2 port 4716 ssh2
Jul 18 19:49:37 essen112 sshd[23638]: Failed password for root from ::ffff:217.58.140.2 port 4825 ssh2
Jul 18 19:49:44 essen112 sshd[23645]: Failed password for root from ::ffff:217.58.140.2 port 4946 ssh2
Jul 18 19:49:48 essen112 sshd[23649]: Failed password for root from ::ffff:217.58.140.2 port 1096 ssh2
Jul 18 19:49:53 essen112 sshd[23653]: Failed password for root from ::ffff:217.58.140.2 port 1244 ssh2
Jul 18 19:49:58 essen112 sshd[23655]: Failed password for root from ::ffff:217.58.140.2 port 1327 ssh2

Jul 19 17:59:44 essen112 sshd[10192]: Illegal user test from ::ffff:61.60.51.163
Jul 19 17:59:48 essen112 sshd[10194]: Illegal user guest from ::ffff:61.60.51.163

[dodolin]

Aber habt Ihr auch täglich solche angriffe ?

Nicht wirklich oft. Nur alle paar Wochen mal kurz.

Ich würde daher tippen, dass es die Jungs irgendwie auf dich abgesehen haben, eventuell gabs mal Krach mit jemandem oder sie haben bemerkt, dass du unsichere Software einsetzt und halten dich daher für ein leichtes Ziel, etc.?

Naja, außer Abuse anschreiben kann man wohl nicht viel machen. Mich selbst beunruhigt das aber nicht so sehr, mein PW ist auch gut. ;)

[bmp]

Naja, außer Abuse anschreiben kann man wohl nicht viel machen. Mich selbst beunruhigt das aber nicht so sehr, mein PW ist auch gut. ;)

Beunruhigen tut mich das auch nicht.
Denn root darf sich nicht bei meinem Server anmelden ;-)
Sprich die müsten User und PW rausbekommen.
Und danach natürlich das root PW...

Nur stört es ein wenig bei der täglichen Logschau...

Aber mal schauen vieleicht vergeht denen ja der Spaß irgendwann ;-)

[pf4]

Schalte doch einfach PW Auth aus und stelle voll auf rsa-key um.
Dann weden se sehr schnell aufgeben und du hast
Den Traffic nimmer und deine logs werden nimmer vollgemüllt.
Von der Sicherheit ganz zu schweigen.

[lufthansen]

och aber nur via key is ziemlich unpraktisch finde ... ich weiß ist sichere =)
aber um mal schnell irgendwo nach dem reinen zu gucken absolut unbrauchbar oder vertue ich mich da ?

[dodolin]

aber um mal schnell irgendwo nach dem reinen zu gucken absolut unbrauchbar oder vertue ich mich da ?

Wenn du überall, wo du mal schnell reingucken willst, USB hast, könnte man den Key ja auf nem Stick am Schlüsselbund haben. Ich hab aber leider nicht überall USB, auch wenn das immer mehr Verbreitung findet und daher scheidet das für mich auch (momentan noch) aus.

[pf4]

Ich hab mir einfach Putty den Key und noch nen paar andere Tools auf CD gebrannt, da ich sowieso immer der Software/Werkzeugkoffer dabei hab is das kein Problem.
Wiso solltest du auch von aller Welt auf dem Server zugreifen wollen ?

@Home vielleicht noch @work
wo den sonst noch ?

[dodolin]

@Home vielleicht noch @work
wo den sonst noch ?

@home
@work
@uni
@friend

*räusper*

Das mit dem @work mach ich natürlich NICHT. ;)

[captaincrunch]

Och, ich hab auch schon bei Starbucks in Paris (WLAN) auf die Kiste zugegriffen...in diesemFall allerdings per VPN. ;)

[paranoia]

Zieh doch einfach mit dem SSH port von 22 auf irgendwas XXXXX um.....
Es erhöt die Sicherheit nicht wirklich, hält aber nen paar Skriptkidies ab, die nur mal eben auf bekannten MietserverIPs die bekannten Ports durchscannen. Und damit jemand bei dir alle 65000 Ports gezeilt durchscannt, muss er schon gezielt vorgehen....
Para

[captaincrunch]

Oh mann...wie oft denn noch? Security by obscurity hat noch nie funktioniert, funktioniert nicht, und wird auch nie funktionieren... :roll:

[pf4]

OT:
CC wie findest du eigendlich die idee mit Portknocking wie es die C't an sich bezeichnet. Der Artikel hört sich doch recht gut an.

[captaincrunch]

Portknocking kann eine erweiterte Maßnahme sein, um einen bestimmten Dienst zu schützen. Wer allerdings denkt, dass er alleine aufgrund dessen den Dienst sicherheitstechnisch "vernachlässigen" kann, sollte sich nicht wundern, wenn dann doch mal die "bösen Jungs" auf der Matte stehen.

In Kurzform: so lange auch nur die theoretische Möglichkeit besteht, den Traffic mitzusniffen, und damit ein potentieller Angreifer weiß, auf welchen Ports auch er anklopfen muss, konzentriere ich mich für meinen Teil lieber darauf, den Dienst (oder besser gesagt das Gesamtsystem) von Grund auf sicherer zu machen. ;)

Bevor man mir jetzt wieder vorwirft, dass ich ohnehin alles schlecht mache ;) : Portknocking finde ich eine recht lustige Sache, würde mich aber (wie oben gesagt) halt eher auf Maßnahmen konzentrieren, die eine grundsätzliche Sicherheit bieten.

[Joe User]

OT:
CC wie findest du eigendlich die idee mit Portknocking wie es die C't an sich bezeichnet. Der Artikel hört sich doch recht gut an.

Das Thema wurde/wird ausführlich in http://www.rootforum.org/forum/viewtopic.php?t=27966 diskutiert und ist in diesem Thread mehr als OT!

[nyxus]

Oh mann...wie oft denn noch? Security by obscurity hat noch nie funktioniert, funktioniert nicht, und wird auch nie funktionieren... :roll:

aber es würde die Anzahl der Logeinträge (flasches Kennwort) verringern. Kann doch auch ein Ziel sein.

[captaincrunch]

aber es würde die Anzahl der Logeinträge (flasches Kennwort) verringern. Kann doch auch ein Ziel sein.

Wenn man dabei die Scheuklappen aufsetzt und schön kurzsichtig denkt auf jeden Fall. ;)

[paranoia]

@ CC bezüglich SSH Portumzug
Klar ist es nur ein ZUSÃ?TZLICHES Mittel zu regelmaessigen Updates, einem gesichertem System und guten Kennwörtern, aber ansonsten wüßte ich nicht, was dagegen spricht.
Wahrscheinlich deutest du meinen Vorschlag einfach nur falsch ;)
Klar bringt das umziehen des SSH keine Sicherheit und wer meint dies würde als Maßnahme ausreichen, liegt auch ziemlich flach (das wäre dann verfehlte "Security by obscurity"), aber als zusätzliches Mittel sehe ich keine Fehler darin und wenn es mir einige Skriptkiddies vom Leib hält und meine Logs etwas schlanker hält, wieso nicht (das wäre dann eher "Security and obscurity")....
Also denke ich, dass in diesem Fall du hier die Scheuklappen an hast, indem du denkst, dies würde als einziges Konzept zur Sicherheit empfohlen.
Klar sollte vorher rootlogin verboten werden, sicher passwörter verwendet werden und am besten auch nur rsa-key, aber was spricht dagegen, dies als zusätzliches Mittel zu benutzen? Wieso Geheimhaltung nicht als zusätzliches Mittel nehmen? Oder wäre dein Server unsicherer, wenn der SSH zusätzlich umzieht?
Para