Ständige Einbruchsversuche

Lesenswerte Artikel, Anleitungen und Diskussionen
bmp
Posts: 116
Joined: 2003-03-13 16:30

Ständige Einbruchsversuche

Post by bmp » 2004-07-20 08:57

Hallo,

ich habe mal ne kleine Frage an euch.

Und zwar wird mein Rooty seit ca. 5 Tage täglich mehrmals versucht zu knacken.

Es schein so alls sei irgendwo ein Schild angebracht versucht mein User / PW zu erraten.

Meistens sind es pro Tag ca 40-60 Versuche mein User / PW per SSH zu erraten. Durch die Zeitabstände >10sec vermute ich das dort wirklich kleine Jungs versuchen das zu knacken und kein Script.
Die IP ist täglich eine andere aber immer von anderen Rootservern.

Einen Deutschen Rootserverbesitzer habe ich schon angeschrieben was das denn wohl werden sollte. Seine Antwort war das man Ihm sein Rootserver geknackt hat.

Eigendlich mache ich mir keine Sorgen um mein PW da es sicher sein sollte.

Aber habt Ihr auch täglich solche angriffe ?

mfg

Marcus Berger

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Ständige Einbruchsversuche

Post by captaincrunch » 2004-07-20 09:19

Und zwar wird mein Rooty seit ca. 5 Tage täglich mehrmals versucht zu knacken.
Was sich wie genau in den Logs bemerkbar macht?
Aber habt Ihr auch täglich solche angriffe ?
Nö...wahrscheinlich alleine aus dem Grunde aber schon nicht, da ich keine passwortbasierte Authentifizierung nutze. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

bmp
Posts: 116
Joined: 2003-03-13 16:30

Re: Ständige Einbruchsversuche

Post by bmp » 2004-07-20 09:32

CaptainCrunch wrote:
Und zwar wird mein Rooty seit ca. 5 Tage täglich mehrmals versucht zu knacken.
Was sich wie genau in den Logs bemerkbar macht?
Jul 18 19:48:10 essen112 sshd[23584]: Failed password for root from ::ffff:217.58.140.2 port 2687 ssh2
Jul 18 19:48:15 essen112 sshd[23586]: Failed password for root from ::ffff:217.58.140.2 port 2814 ssh2
Jul 18 19:48:17 essen112 sshd[23588]: Failed password for root from ::ffff:217.58.140.2 port 2915 ssh2
Jul 18 19:48:21 essen112 sshd[23590]: Failed password for root from ::ffff:217.58.140.2 port 2966 ssh2
Jul 18 19:48:26 essen112 sshd[23592]: Failed password for root from ::ffff:217.58.140.2 port 3074 ssh2
Jul 18 19:48:31 essen112 sshd[23595]: Failed password for root from ::ffff:217.58.140.2 port 3185 ssh2
Jul 18 19:48:34 essen112 sshd[23598]: Failed password for root from ::ffff:217.58.140.2 port 3318 ssh2
Jul 18 19:48:37 essen112 sshd[23600]: Failed password for root from ::ffff:217.58.140.2 port 3383 ssh2
Jul 18 19:48:41 essen112 sshd[23602]: Failed password for root from ::ffff:217.58.140.2 port 3464 ssh2
Jul 18 19:48:46 essen112 sshd[23607]: Failed password for root from ::ffff:217.58.140.2 port 3563 ssh2
Jul 18 19:48:50 essen112 sshd[23613]: Failed password for root from ::ffff:217.58.140.2 port 3668 ssh2
Jul 18 19:48:55 essen112 sshd[23615]: Failed password for root from ::ffff:217.58.140.2 port 3794 ssh2
Jul 18 19:49:01 essen112 sshd[23617]: Failed password for root from ::ffff:217.58.140.2 port 3896 ssh2
Jul 18 19:49:06 essen112 sshd[23620]: Failed password for root from ::ffff:217.58.140.2 port 4028 ssh2
Jul 18 19:49:10 essen112 sshd[23622]: Failed password for root from ::ffff:217.58.140.2 port 4147 ssh2
Jul 18 19:49:13 essen112 sshd[23624]: Failed password for root from ::ffff:217.58.140.2 port 4249 ssh2
Jul 18 19:49:16 essen112 sshd[23626]: Failed password for root from ::ffff:217.58.140.2 port 4317 ssh2
Jul 18 19:49:19 essen112 sshd[23628]: Failed password for root from ::ffff:217.58.140.2 port 4393 ssh2
Jul 18 19:49:23 essen112 sshd[23630]: Failed password for root from ::ffff:217.58.140.2 port 4477 ssh2
Jul 18 19:49:29 essen112 sshd[23634]: Failed password for root from ::ffff:217.58.140.2 port 4603 ssh2
Jul 18 19:49:32 essen112 sshd[23636]: Failed password for root from ::ffff:217.58.140.2 port 4716 ssh2
Jul 18 19:49:37 essen112 sshd[23638]: Failed password for root from ::ffff:217.58.140.2 port 4825 ssh2
Jul 18 19:49:44 essen112 sshd[23645]: Failed password for root from ::ffff:217.58.140.2 port 4946 ssh2
Jul 18 19:49:48 essen112 sshd[23649]: Failed password for root from ::ffff:217.58.140.2 port 1096 ssh2
Jul 18 19:49:53 essen112 sshd[23653]: Failed password for root from ::ffff:217.58.140.2 port 1244 ssh2
Jul 18 19:49:58 essen112 sshd[23655]: Failed password for root from ::ffff:217.58.140.2 port 1327 ssh2
Jul 19 17:59:44 essen112 sshd[10192]: Illegal user test from ::ffff:61.60.51.163
Jul 19 17:59:48 essen112 sshd[10194]: Illegal user guest from ::ffff:61.60.51.163

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Ständige Einbruchsversuche

Post by dodolin » 2004-07-20 11:06

Aber habt Ihr auch täglich solche angriffe ?
Nicht wirklich oft. Nur alle paar Wochen mal kurz.

Ich würde daher tippen, dass es die Jungs irgendwie auf dich abgesehen haben, eventuell gabs mal Krach mit jemandem oder sie haben bemerkt, dass du unsichere Software einsetzt und halten dich daher für ein leichtes Ziel, etc.?

Naja, außer Abuse anschreiben kann man wohl nicht viel machen. Mich selbst beunruhigt das aber nicht so sehr, mein PW ist auch gut. ;)

bmp
Posts: 116
Joined: 2003-03-13 16:30

Re: Ständige Einbruchsversuche

Post by bmp » 2004-07-20 12:08

dodolin wrote:Naja, außer Abuse anschreiben kann man wohl nicht viel machen. Mich selbst beunruhigt das aber nicht so sehr, mein PW ist auch gut. ;)
Beunruhigen tut mich das auch nicht.
Denn root darf sich nicht bei meinem Server anmelden ;-)
Sprich die müsten User und PW rausbekommen.
Und danach natürlich das root PW...

Nur stört es ein wenig bei der täglichen Logschau...

Aber mal schauen vieleicht vergeht denen ja der Spaß irgendwann ;-)

pf4
Posts: 91
Joined: 2002-12-09 10:27

Re: Ständige Einbruchsversuche

Post by pf4 » 2004-07-20 13:58

Schalte doch einfach PW Auth aus und stelle voll auf rsa-key um.
Dann weden se sehr schnell aufgeben und du hast
Den Traffic nimmer und deine logs werden nimmer vollgemüllt.
Von der Sicherheit ganz zu schweigen.

lufthansen
Posts: 390
Joined: 2002-09-24 17:31
Location: NRW

Re: Ständige Einbruchsversuche

Post by lufthansen » 2004-07-20 16:42

och aber nur via key is ziemlich unpraktisch finde ... ich weiß ist sichere =)
aber um mal schnell irgendwo nach dem reinen zu gucken absolut unbrauchbar oder vertue ich mich da ?

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Ständige Einbruchsversuche

Post by dodolin » 2004-07-20 17:38

aber um mal schnell irgendwo nach dem reinen zu gucken absolut unbrauchbar oder vertue ich mich da ?
Wenn du überall, wo du mal schnell reingucken willst, USB hast, könnte man den Key ja auf nem Stick am Schlüsselbund haben. Ich hab aber leider nicht überall USB, auch wenn das immer mehr Verbreitung findet und daher scheidet das für mich auch (momentan noch) aus.

pf4
Posts: 91
Joined: 2002-12-09 10:27

Re: Ständige Einbruchsversuche

Post by pf4 » 2004-07-20 17:46

Ich hab mir einfach Putty den Key und noch nen paar andere Tools auf CD gebrannt, da ich sowieso immer der Software/Werkzeugkoffer dabei hab is das kein Problem.
Wiso solltest du auch von aller Welt auf dem Server zugreifen wollen ?

@Home vielleicht noch @work
wo den sonst noch ?

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Ständige Einbruchsversuche

Post by dodolin » 2004-07-20 20:01

@Home vielleicht noch @work
wo den sonst noch ?
@home
@work
@uni
@friend

*räusper*

Das mit dem @work mach ich natürlich NICHT. ;)

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Ständige Einbruchsversuche

Post by captaincrunch » 2004-07-21 08:32

Och, ich hab auch schon bei Starbucks in Paris (WLAN) auf die Kiste zugegriffen...in diesemFall allerdings per VPN. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

paranoia
Posts: 5
Joined: 2004-02-21 15:26

Re: Ständige Einbruchsversuche

Post by paranoia » 2004-07-21 10:49

Zieh doch einfach mit dem SSH port von 22 auf irgendwas XXXXX um.....
Es erhöt die Sicherheit nicht wirklich, hält aber nen paar Skriptkidies ab, die nur mal eben auf bekannten MietserverIPs die bekannten Ports durchscannen. Und damit jemand bei dir alle 65000 Ports gezeilt durchscannt, muss er schon gezielt vorgehen....
Para

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Ständige Einbruchsversuche

Post by captaincrunch » 2004-07-21 10:53

Oh mann...wie oft denn noch? Security by obscurity hat noch nie funktioniert, funktioniert nicht, und wird auch nie funktionieren... :roll:
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

pf4
Posts: 91
Joined: 2002-12-09 10:27

Re: Ständige Einbruchsversuche

Post by pf4 » 2004-07-21 10:57

OT:
CC wie findest du eigendlich die idee mit Portknocking wie es die C't an sich bezeichnet. Der Artikel hört sich doch recht gut an.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Ständige Einbruchsversuche

Post by captaincrunch » 2004-07-21 11:08

Portknocking kann eine erweiterte Maßnahme sein, um einen bestimmten Dienst zu schützen. Wer allerdings denkt, dass er alleine aufgrund dessen den Dienst sicherheitstechnisch "vernachlässigen" kann, sollte sich nicht wundern, wenn dann doch mal die "bösen Jungs" auf der Matte stehen.

In Kurzform: so lange auch nur die theoretische Möglichkeit besteht, den Traffic mitzusniffen, und damit ein potentieller Angreifer weiß, auf welchen Ports auch er anklopfen muss, konzentriere ich mich für meinen Teil lieber darauf, den Dienst (oder besser gesagt das Gesamtsystem) von Grund auf sicherer zu machen. ;)

Bevor man mir jetzt wieder vorwirft, dass ich ohnehin alles schlecht mache ;) : Portknocking finde ich eine recht lustige Sache, würde mich aber (wie oben gesagt) halt eher auf Maßnahmen konzentrieren, die eine grundsätzliche Sicherheit bieten.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Ständige Einbruchsversuche

Post by Joe User » 2004-07-21 11:10

PF4 wrote:OT:
CC wie findest du eigendlich die idee mit Portknocking wie es die C't an sich bezeichnet. Der Artikel hört sich doch recht gut an.
Das Thema wurde/wird ausführlich in http://www.rootforum.org/forum/viewtopic.php?t=27966 diskutiert und ist in diesem Thread mehr als OT!
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

User avatar
nyxus
RSAC
Posts: 697
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Ständige Einbruchsversuche

Post by nyxus » 2004-07-21 11:46

CaptainCrunch wrote:Oh mann...wie oft denn noch? Security by obscurity hat noch nie funktioniert, funktioniert nicht, und wird auch nie funktionieren... :roll:
aber es würde die Anzahl der Logeinträge (flasches Kennwort) verringern. Kann doch auch ein Ziel sein.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Ständige Einbruchsversuche

Post by captaincrunch » 2004-07-21 11:49

aber es würde die Anzahl der Logeinträge (flasches Kennwort) verringern. Kann doch auch ein Ziel sein.
Wenn man dabei die Scheuklappen aufsetzt und schön kurzsichtig denkt auf jeden Fall. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

paranoia
Posts: 5
Joined: 2004-02-21 15:26

Re: Ständige Einbruchsversuche

Post by paranoia » 2004-07-21 18:30

@ CC bezüglich SSH Portumzug
Klar ist es nur ein ZUSÃ?TZLICHES Mittel zu regelmaessigen Updates, einem gesichertem System und guten Kennwörtern, aber ansonsten wüßte ich nicht, was dagegen spricht.
Wahrscheinlich deutest du meinen Vorschlag einfach nur falsch ;)
Klar bringt das umziehen des SSH keine Sicherheit und wer meint dies würde als Maßnahme ausreichen, liegt auch ziemlich flach (das wäre dann verfehlte "Security by obscurity"), aber als zusätzliches Mittel sehe ich keine Fehler darin und wenn es mir einige Skriptkiddies vom Leib hält und meine Logs etwas schlanker hält, wieso nicht (das wäre dann eher "Security and obscurity")....
Also denke ich, dass in diesem Fall du hier die Scheuklappen an hast, indem du denkst, dies würde als einziges Konzept zur Sicherheit empfohlen.
Klar sollte vorher rootlogin verboten werden, sicher passwörter verwendet werden und am besten auch nur rsa-key, aber was spricht dagegen, dies als zusätzliches Mittel zu benutzen? Wieso Geheimhaltung nicht als zusätzliches Mittel nehmen? Oder wäre dein Server unsicherer, wenn der SSH zusätzlich umzieht?
Para