was sagt Ihr zu sowas?

Rund um die Sicherheit des Systems und die Applikationen
Anonymous

was sagt Ihr zu sowas?

Post by Anonymous » 2006-03-26 23:14

Hallo,
was sagt Ihr dazu was in dem Link steht?
hab die Log als externe Editor Datei gemacht.

was soll ich machen? das geht seit 4 wochen so.
ich weis aber nicht mehr was ich machen soll, ich glaub zwar nich dass er/ Sie die passwörter geknakt haben (60 Stellig) aber trozdem ist das blöd.
was soll ich machen?

http://web1.paris149.server4you.de/messages.txt

timeless2
Posts: 416
Joined: 2005-03-04 14:45
Location: Paris

Re: was sagt Ihr zu sowas?

Post by timeless2 » 2006-03-26 23:31

Wenn dir der Speicherplatz ausgeht: löschen.
Du kannst noch SSH-Keys verwenden, dann können die alles möglich durchprobieren.

Anonymous

Re: was sagt Ihr zu sowas?

Post by Anonymous » 2006-03-26 23:35

und wie mache ich am besten, dass die nicht mehr connecten können? bzw. dass die nix mehr machen können. Für tuts in der Richtung bin ich offen^^ hab erst seit 6 monaten den root.
oder kann ich irgendwie mit dem kontakt aufnehmen ... würde den mal gerne Persönlich anreden

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: was sagt Ihr zu sowas?

Post by Roger Wilco » 2006-03-26 23:57

helermann wrote:und wie mache ich am besten, dass die nicht mehr connecten können?
Forensuche, Google -> "SSH Bruteforce"
helermann wrote:oder kann ich irgendwie mit dem kontakt aufnehmen ... würde den mal gerne Persönlich anreden
Ansprechpartner/Abuse-Desk findest du in den WHOIS-Daten zu der IP-Adresse. Zu deinem Glück ist der Rechner in Deutschland und du hast reelle Chancen, die Betreiber darüber zu informieren, dass einer ihrer Rechner geknackt wurde...

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: was sagt Ihr zu sowas?

Post by rootsvr » 2006-03-27 09:29

Jep mail an die Admins vom KFA Jülich, sollte sich eigentlich beheben lassen..

http://www.dnsstuff.com/tools/tracert.c ... 94.176.153

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: was sagt Ihr zu sowas?

Post by daemotron » 2006-04-01 08:55

Schau dir mal http://denyhosts.sourceforge.net/ an. Das sollte die Anzahl der Versuche (und damit die Menge der log-Einträge) deutlich reduzieren können 8)

Cheers
Jesco

bobo
Posts: 36
Joined: 2006-03-22 20:23
Location: Dortmund

Re: was sagt Ihr zu sowas?

Post by bobo » 2006-04-03 23:09

Gibts dieses denyhosts auch für Suse Linux 9.3 ?
Scheinbar hab ich den gleichen Vogel bei mir am rumprobieren. :?

Gruß
bobo

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: was sagt Ihr zu sowas?

Post by daemotron » 2006-04-06 11:55

denyhosts ist ein Python-Skript. Das funktioniert auf JEDEM Betriebssystem mit Python-Interpreter, einzige Voraussetzung ist, das OpenSSH richtig konfiguriert ist (siehe http://denyhosts.sourceforge.net/)

creek
Posts: 76
Joined: 2003-07-29 08:52
Location: Stuttgart

Re: was sagt Ihr zu sowas?

Post by creek » 2006-04-06 14:48

hab mir das script gerade auch mal angeguckt, eigentlich nicht schlecht aber leider ist der Debian sshd nicht mit tcp_wrappers support kompiliert, hilft da nur selber kompilieren oder gibts da irgendwo nen paket?

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: was sagt Ihr zu sowas?

Post by daemotron » 2006-04-09 07:46

Irgendwo hier im Forum ist mir neulich ne Alternative (Perl-Skript) über den Weg gelaufen, die ohne tcp_wrapper auskommt. Das Aussperren wird hier nicht direkt über den sshd umgesetzt, sondern mit einer IPTables-Regel. Allerdings hab ich jetzt auf die schnelle den Link nicht parat...

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: was sagt Ihr zu sowas?

Post by lord_pinhead » 2006-04-10 10:55

Warum schwer wenn es auch einfach geht? http://doorman.sourceforge.net/

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: was sagt Ihr zu sowas?

Post by daemotron » 2006-04-10 16:08

Hmm, nettes Spielzeug - aber für mich eher ungeeignet, da ich seit Jahr und Tag versuche, meine User dazu zu erziehen, auf ihre Accounts nur noch per SFTP oder SCP zuzugreifen. Ein ziemlich zäher Prozess, um ehrlich zu sein... hab sie jetzt gerade so weit, dass sie die Verwendung von SSH-Keys akzeptieren :roll:

cu
Jesco

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: was sagt Ihr zu sowas?

Post by lord_pinhead » 2006-04-10 22:29

Trau niemals deinen Usern. Ich denke ich hab in meiner letzten Rundmail dick und fett gesagt das FTP mit SSL läuft und das man das nutzen soll. Ratet mal wer der einzige Idiot ist der das nutzt? Aber mir egal, sind deren Accounts und deren Daten ;)

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: was sagt Ihr zu sowas?

Post by daemotron » 2006-04-10 23:02

Lord_Pinhead wrote:Aber mir egal, sind deren Accounts und deren Daten
Aber mein Server! *grrr* dieses Pest-Protokoll (FTP) sollte man eigentlich ganz abschaffen :twisted: Der reinste Albtraum in jeder hinsicht...

buddaaa
Posts: 163
Joined: 2004-11-08 09:59

Re: was sagt Ihr zu sowas?

Post by buddaaa » 2006-04-11 20:00

helermann wrote:Hallo,
was sagt Ihr dazu was in dem Link steht?
hab die Log als externe Editor Datei gemacht.

was soll ich machen? das geht seit 4 wochen so.
ich weis aber nicht mehr was ich machen soll, ich glaub zwar nich dass er/ Sie die passwörter geknakt haben (60 Stellig) aber trozdem ist das blöd.
was soll ich machen?

http://web1.paris149.server4you.de/messages.txt
lass die SSH einfach auf einem anderen port als 22 laufen (wenns nicht zuviele user sind). kein skript-kind scannt 65536 ports an einem server wenn er mit dem gleichen aufwand 65536 IPs auf port 22 scannen kann, da ist seine ausbeute 100fach groesser.

duergner
Posts: 923
Joined: 2003-08-20 11:30
Location: Pittsburgh, PA, USA

Re: was sagt Ihr zu sowas?

Post by duergner » 2006-04-11 20:10

Das is doch alles Unsinn. Schalt einfach die Challenge/Response Authentification aus und verwende nur noch SSH-Keys und gut is. Dann kann der soviel scannen und probieren wie er will.

codc
Posts: 97
Joined: 2004-01-08 02:55
Location: Tübingen

Re: was sagt Ihr zu sowas?

Post by codc » 2006-04-11 20:27

Dieses Thema wurde hier schon 100fach diskutiert. Siehe hier im Archiv: http://www.rootforum.org/forum/viewtopic.php?t=37133

Ein anderer Port ist http://de.wikipedia.org/wiki/Security_by_obscurity und von daher nur Kosmetik.

Nutze Keys und mach den root-login über ssh zu und die Kiste ist sicher. Ansonsten würde ich mal die SuFu nach ssh und brute force benutzen weil es wirklich schon 100fach diskutiert wurde.

buddaaa
Posts: 163
Joined: 2004-11-08 09:59

Re: was sagt Ihr zu sowas?

Post by buddaaa » 2006-04-12 00:24

codc wrote: Ein anderer Port ist http://de.wikipedia.org/wiki/Security_by_obscurity und von daher nur Kosmetik.
1. haette er einen anderen port als 22 fuer seine SSH, wuerde er sich sehr wahrscheinlich nicht mit dem brute-forcer rumschlagen muessen, argumentation in meinem letzten beitrag (in der annahme das es niemand persoenlich auf diesen server abgesehen hat sondern nur irgendeinen knacken will)
2. der deutsche wikipedia-artikel zu security by obscurity ist unvollstaendig und in diversen punkten einfach falsch, lies Dir mal den englischen durch, insbesondere den abschnitt "Arguments in favor of security by obscurity".

duergner
Posts: 923
Joined: 2003-08-20 11:30
Location: Pittsburgh, PA, USA

Re: was sagt Ihr zu sowas?

Post by duergner » 2006-04-12 00:33

Das ändert aber absolut nichts daran, dass 'PermitRootLogin no' und 'PubkeyAuthentication yes' in Verbindung mit 'ChallengeResponseAuthentication no' die bessere Alternative sind. Die denken nämlich auch noch den Fall ab, dass doch mal jemand noch den oberen Ports scannt.

buddaaa
Posts: 163
Joined: 2004-11-08 09:59

Re: was sagt Ihr zu sowas?

Post by buddaaa » 2006-04-12 01:47

duergner wrote:Das ändert aber absolut nichts daran, dass 'PermitRootLogin no' und 'PubkeyAuthentication yes' in Verbindung mit 'ChallengeResponseAuthentication no' die bessere Alternative sind. Die denken nämlich auch noch den Fall ab, dass doch mal jemand noch den oberen Ports scannt.
naja, er schreibt das sein problem nicht das knacken der accounts ist (weil die passwoerter sicher genug sind), sondern die logeintraege nerven, und da hilft Dein vorschlag ihm nicht, meiner zumindest temporaer ;)

und wenn schon dann auch noch 'PasswordAuthentication no'.

duergner
Posts: 923
Joined: 2003-08-20 11:30
Location: Pittsburgh, PA, USA

Re: was sagt Ihr zu sowas?

Post by duergner » 2006-04-12 03:03

Das is eh per Default auf no AFAIK. Und Passwörter sind IMHO nie sicher genug. *gg*

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: was sagt Ihr zu sowas?

Post by lord_pinhead » 2006-04-12 11:10

Wie gesagt, was man nicht sieht kann man nicht angreifen. Ein Portknocker bringt da schon was, den wer hat das Geld sich eine feste IP zu leisten um nur noch Verbindungen von dort zuzulassen? Und die Argumentation von Buddaa is hart, ich denke du solltest dir mal scanrand ansehen, das scannt dir ganze Hoster mit allen Ports in wenigen Minuten und liefert sehr gute ergebnisse ;)

An sich hat man 2 möglichkeiten:
- Pubkey aufspielen und laufen lassen, loggs sind einen Wurst (so isses bei mir)
- Portknocker installieren, eine Batchfile ist auch sehr schnell gebaut um nicht zuviele schritte mit dem knocker machen zu müssen.

So jedenfalls meine Ansicht. Port ändern, ok, mache ich auch, aber nur weil die bots mir mal die Verbindungen verstopft haben und ich mich plötzlich nicht einloggen konnte. Hab leider nie wirklich rausgefunden ob das nicht doch ein DoS war. Egal, Port ändern ist keine langzeitlösung. Wer allerdings einen Angriff auf die SSH versucht ist sowisso verdammt dumm, es gibt bei 90% der Server ganz andere Schwachstellen ;)

buddaaa
Posts: 163
Joined: 2004-11-08 09:59

Re: was sagt Ihr zu sowas?

Post by buddaaa » 2006-04-12 13:51

duergner wrote:Das is eh per Default auf no AFAIK.
man sshd_config:

Code: Select all

     PasswordAuthentication
             Specifies whether password authentication is allowed.  The default is yes
Und Passwörter sind IMHO nie sicher genug. *gg*
ich weiss ja nicht was Du sonst noch auf Deinem server am laufen hast, aber bei mir gibts noch etliche duennere glieder in der kette als die passwoerter (cgis und PHP von kunden, FTP, ... )

buddaaa
Posts: 163
Joined: 2004-11-08 09:59

Re: was sagt Ihr zu sowas?

Post by buddaaa » 2006-04-12 14:01

Lord_Pinhead wrote:Und die Argumentation von Buddaa is hart, ich denke du solltest dir mal scanrand ansehen, das scannt dir ganze Hoster mit allen Ports in wenigen Minuten und liefert sehr gute ergebnisse ;)
und, auch damit ist es fuer skript-kinder effektiver 65536 server auf port 22 zu scannen als einen server auf allen ports + "nmap -sV" um rauszukriegen wo ein SSH lauscht.
An sich hat man 2 möglichkeiten:
- Pubkey aufspielen und laufen lassen, loggs sind einen Wurst (so isses bei mir)
- Portknocker installieren, eine Batchfile ist auch sehr schnell gebaut um nicht zuviele schritte mit dem knocker machen zu müssen.
ich lass per iptables nur das DSL-netz von meinem provider und ein paar andere server auf meinen SSH-port => himmlische ruhe im log, aber taugt natuerlich nur bei wenigen SSH-usern.

Wer allerdings einen Angriff auf die SSH versucht ist sowisso verdammt dumm, es gibt bei 90% der Server ganz andere Schwachstellen ;)
ACK!

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: was sagt Ihr zu sowas?

Post by Joe User » 2006-04-12 15:02

Und wer von seinem Anbieter eine Remote-Console zur Verfügung gestellt bekommt, kann den sshd auch stoppen und nur bei Bedarf starten...

BTW: Auch bei OpenSSH lässt sich der Loglevel anpassen...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.