was sagt Ihr zu sowas?

[Anonymous]

Hallo,
was sagt Ihr dazu was in dem Link steht?
hab die Log als externe Editor Datei gemacht.

was soll ich machen? das geht seit 4 wochen so.
ich weis aber nicht mehr was ich machen soll, ich glaub zwar nich dass er/ Sie die passwörter geknakt haben (60 Stellig) aber trozdem ist das blöd.
was soll ich machen?

http://web1.paris149.server4you.de/messages.txt

[timeless2]

Wenn dir der Speicherplatz ausgeht: löschen.
Du kannst noch SSH-Keys verwenden, dann können die alles möglich durchprobieren.

[Anonymous]

und wie mache ich am besten, dass die nicht mehr connecten können? bzw. dass die nix mehr machen können. Für tuts in der Richtung bin ich offen^^ hab erst seit 6 monaten den root.
oder kann ich irgendwie mit dem kontakt aufnehmen ... würde den mal gerne Persönlich anreden

[Roger Wilco]

und wie mache ich am besten, dass die nicht mehr connecten können?

Forensuche, Google -> "SSH Bruteforce"

oder kann ich irgendwie mit dem kontakt aufnehmen ... würde den mal gerne Persönlich anreden

Ansprechpartner/Abuse-Desk findest du in den WHOIS-Daten zu der IP-Adresse. Zu deinem Glück ist der Rechner in Deutschland und du hast reelle Chancen, die Betreiber darüber zu informieren, dass einer ihrer Rechner geknackt wurde...

[rootsvr]

Jep mail an die Admins vom KFA Jülich, sollte sich eigentlich beheben lassen..

http://www.dnsstuff.com/tools/tracert.c ... 94.176.153

[daemotron]

Schau dir mal http://denyhosts.sourceforge.net/ an. Das sollte die Anzahl der Versuche (und damit die Menge der log-Einträge) deutlich reduzieren können 8)

Cheers
Jesco

[bobo]

Gibts dieses denyhosts auch für Suse Linux 9.3 ?
Scheinbar hab ich den gleichen Vogel bei mir am rumprobieren. :?

Gruß
bobo

[daemotron]

denyhosts ist ein Python-Skript. Das funktioniert auf JEDEM Betriebssystem mit Python-Interpreter, einzige Voraussetzung ist, das OpenSSH richtig konfiguriert ist (siehe http://denyhosts.sourceforge.net/)

[creek]

hab mir das script gerade auch mal angeguckt, eigentlich nicht schlecht aber leider ist der Debian sshd nicht mit tcp_wrappers support kompiliert, hilft da nur selber kompilieren oder gibts da irgendwo nen paket?

[daemotron]

Irgendwo hier im Forum ist mir neulich ne Alternative (Perl-Skript) über den Weg gelaufen, die ohne tcp_wrapper auskommt. Das Aussperren wird hier nicht direkt über den sshd umgesetzt, sondern mit einer IPTables-Regel. Allerdings hab ich jetzt auf die schnelle den Link nicht parat...

[lord_pinhead]

Warum schwer wenn es auch einfach geht? http://doorman.sourceforge.net/

[daemotron]

Hmm, nettes Spielzeug - aber für mich eher ungeeignet, da ich seit Jahr und Tag versuche, meine User dazu zu erziehen, auf ihre Accounts nur noch per SFTP oder SCP zuzugreifen. Ein ziemlich zäher Prozess, um ehrlich zu sein... hab sie jetzt gerade so weit, dass sie die Verwendung von SSH-Keys akzeptieren :roll:

cu
Jesco

[lord_pinhead]

Trau niemals deinen Usern. Ich denke ich hab in meiner letzten Rundmail dick und fett gesagt das FTP mit SSL läuft und das man das nutzen soll. Ratet mal wer der einzige Idiot ist der das nutzt? Aber mir egal, sind deren Accounts und deren Daten ;)

[daemotron]

Aber mir egal, sind deren Accounts und deren Daten

Aber mein Server! *grrr* dieses Pest-Protokoll (FTP) sollte man eigentlich ganz abschaffen :twisted: Der reinste Albtraum in jeder hinsicht...

[buddaaa]

Hallo,
was sagt Ihr dazu was in dem Link steht?
hab die Log als externe Editor Datei gemacht.

was soll ich machen? das geht seit 4 wochen so.
ich weis aber nicht mehr was ich machen soll, ich glaub zwar nich dass er/ Sie die passwörter geknakt haben (60 Stellig) aber trozdem ist das blöd.
was soll ich machen?

http://web1.paris149.server4you.de/messages.txt

lass die SSH einfach auf einem anderen port als 22 laufen (wenns nicht zuviele user sind). kein skript-kind scannt 65536 ports an einem server wenn er mit dem gleichen aufwand 65536 IPs auf port 22 scannen kann, da ist seine ausbeute 100fach groesser.

[duergner]

Das is doch alles Unsinn. Schalt einfach die Challenge/Response Authentification aus und verwende nur noch SSH-Keys und gut is. Dann kann der soviel scannen und probieren wie er will.

[codc]

Dieses Thema wurde hier schon 100fach diskutiert. Siehe hier im Archiv: http://www.rootforum.org/forum/viewtopic.php?t=37133

Ein anderer Port ist http://de.wikipedia.org/wiki/Security_by_obscurity und von daher nur Kosmetik.

Nutze Keys und mach den root-login über ssh zu und die Kiste ist sicher. Ansonsten würde ich mal die SuFu nach ssh und brute force benutzen weil es wirklich schon 100fach diskutiert wurde.

[buddaaa]

Ein anderer Port ist http://de.wikipedia.org/wiki/Security_by_obscurity und von daher nur Kosmetik.

1. haette er einen anderen port als 22 fuer seine SSH, wuerde er sich sehr wahrscheinlich nicht mit dem brute-forcer rumschlagen muessen, argumentation in meinem letzten beitrag (in der annahme das es niemand persoenlich auf diesen server abgesehen hat sondern nur irgendeinen knacken will)
2. der deutsche wikipedia-artikel zu security by obscurity ist unvollstaendig und in diversen punkten einfach falsch, lies Dir mal den englischen durch, insbesondere den abschnitt "Arguments in favor of security by obscurity".

[duergner]

Das ändert aber absolut nichts daran, dass 'PermitRootLogin no' und 'PubkeyAuthentication yes' in Verbindung mit 'ChallengeResponseAuthentication no' die bessere Alternative sind. Die denken nämlich auch noch den Fall ab, dass doch mal jemand noch den oberen Ports scannt.

[buddaaa]

Das ändert aber absolut nichts daran, dass 'PermitRootLogin no' und 'PubkeyAuthentication yes' in Verbindung mit 'ChallengeResponseAuthentication no' die bessere Alternative sind. Die denken nämlich auch noch den Fall ab, dass doch mal jemand noch den oberen Ports scannt.

naja, er schreibt das sein problem nicht das knacken der accounts ist (weil die passwoerter sicher genug sind), sondern die logeintraege nerven, und da hilft Dein vorschlag ihm nicht, meiner zumindest temporaer ;)

und wenn schon dann auch noch 'PasswordAuthentication no'.

[duergner]

Das is eh per Default auf no AFAIK. Und Passwörter sind IMHO nie sicher genug. *gg*

[lord_pinhead]

Wie gesagt, was man nicht sieht kann man nicht angreifen. Ein Portknocker bringt da schon was, den wer hat das Geld sich eine feste IP zu leisten um nur noch Verbindungen von dort zuzulassen? Und die Argumentation von Buddaa is hart, ich denke du solltest dir mal scanrand ansehen, das scannt dir ganze Hoster mit allen Ports in wenigen Minuten und liefert sehr gute ergebnisse ;)

An sich hat man 2 möglichkeiten:
- Pubkey aufspielen und laufen lassen, loggs sind einen Wurst (so isses bei mir)
- Portknocker installieren, eine Batchfile ist auch sehr schnell gebaut um nicht zuviele schritte mit dem knocker machen zu müssen.

So jedenfalls meine Ansicht. Port ändern, ok, mache ich auch, aber nur weil die bots mir mal die Verbindungen verstopft haben und ich mich plötzlich nicht einloggen konnte. Hab leider nie wirklich rausgefunden ob das nicht doch ein DoS war. Egal, Port ändern ist keine langzeitlösung. Wer allerdings einen Angriff auf die SSH versucht ist sowisso verdammt dumm, es gibt bei 90% der Server ganz andere Schwachstellen ;)

[buddaaa]

Das is eh per Default auf no AFAIK.

man sshd_config:

Code: Select all

     PasswordAuthentication
             Specifies whether password authentication is allowed.  The default is yes

Und Passwörter sind IMHO nie sicher genug. *gg*

ich weiss ja nicht was Du sonst noch auf Deinem server am laufen hast, aber bei mir gibts noch etliche duennere glieder in der kette als die passwoerter (cgis und PHP von kunden, FTP, ... )

[buddaaa]

Und die Argumentation von Buddaa is hart, ich denke du solltest dir mal scanrand ansehen, das scannt dir ganze Hoster mit allen Ports in wenigen Minuten und liefert sehr gute ergebnisse ;)

und, auch damit ist es fuer skript-kinder effektiver 65536 server auf port 22 zu scannen als einen server auf allen ports + "nmap -sV" um rauszukriegen wo ein SSH lauscht.

An sich hat man 2 möglichkeiten:
- Pubkey aufspielen und laufen lassen, loggs sind einen Wurst (so isses bei mir)
- Portknocker installieren, eine Batchfile ist auch sehr schnell gebaut um nicht zuviele schritte mit dem knocker machen zu müssen.

ich lass per iptables nur das DSL-netz von meinem provider und ein paar andere server auf meinen SSH-port => himmlische ruhe im log, aber taugt natuerlich nur bei wenigen SSH-usern.

Wer allerdings einen Angriff auf die SSH versucht ist sowisso verdammt dumm, es gibt bei 90% der Server ganz andere Schwachstellen ;)

ACK!

[Joe User]

Und wer von seinem Anbieter eine Remote-Console zur Verfügung gestellt bekommt, kann den sshd auch stoppen und nur bei Bedarf starten...

BTW: Auch bei OpenSSH lässt sich der Loglevel anpassen...