RootForum Community

In /var/log/auth.log sieht es so aus und zwar mehrmals täglich. Allerdings immer mit anderen IPs bzw. anderen Netzen aber auch IPs aus Deutschland. Wie man nicht nur an der IP erkennen kann kommt dieser Angriff aus China oder habt Ihr auch so lustige usernamen? :)

sshd[32140]: Illegal user qo from ::ffff:60.28.24.84
sshd[32136]: Illegal user qi from ::ffff:60.28.24.84
sshd[32134]: Illegal user qu from ::ffff:60.28.24.84
sshd[32130]: Illegal user qy from ::ffff:60.28.24.84
sshd[32126]: Illegal user qt from ::ffff:60.28.24.84
sshd[32124]: Illegal user qr from ::ffff:60.28.24.84
sshd[32120]: Illegal user qe from ::ffff:60.28.24.84

Diese Situation ist der Normal-Fall. Was da automatisiert versucht wird ist ja offensichtlich. Ich denke das ist bei jedem Server so und die meisten Admins wissen das auch. Stimmts?

Die Frage, was und ob und wie sinnvoll es ist dagegen etwas zu tun und was unternommen werden kann habe ich schon lange.
Kann man rechtlich etwas dagegen unternehmen und wie sinnvoll wäre es? Was wären die entsprechenden Schritte z.B. wenn der Angriff von einem Rechner auch de geschieht? Wie wenn der Angriff nicht auch de kommt?

Wenn es sich um einen deutschen Provider handelt, könntest du theoretisch rechtliche Schritte einleiten. Da die "Angriffe" aber meistens von ebenfalls kompromittierten Rechnern ausgeführt werden, hilft eine Meldung an das Abuse Department des Providers wohl mehr.
Bei deinem Freund handelt es sich um einen in China ansässigen ISP. Ich schätze die Chancen für einen juristischen Erfolg gegen diesen mal optimistisch auf 0%.

Roger Wilco wrote:Wenn es sich um einen deutschen Provider handelt, könntest du theoretisch rechtliche Schritte einleiten.

Was passiert denn wenn ich einen deutschen Provider darauf hinweise, dass von einem seiner Rechner Angriffe gestartet werden. Wie sieht die Rechtslage und Urteile aus?

Roger Wilco wrote:Ich schätze die Chancen für einen juristischen Erfolg gegen diesen mal optimistisch auf 0%.

Ja, das habe ich auch gedacht.

Wie sieht denn Eure Logfiles aus, habt Ihr auch mehrere ssh-Wörterbuch-Attacken täglich?

tomotom wrote:Was passiert denn wenn ich einen deutschen Provider darauf hinweise, dass von einem seiner Rechner Angriffe gestartet werden. Wie sieht die Rechtslage und Urteile aus?

Ich weiß es nicht. Aber bist du so klagewütig/streitfreudig, dass es dir etwas bringt? Eine Meldung an abuse@ halte ich für die beste Möglichkeit.

tomotom wrote:Wie sieht denn Eure Logfiles aus, habt Ihr auch mehrere ssh-Wörterbuch-Attacken täglich?

Heute etwa 2500 Versuche.

Wie sieht denn Eure Logfiles aus, habt Ihr auch mehrere ssh-Wörterbuch-Attacken täglich?

Niente, SSHd auf das interne Netz verbogen. Ist nur noch per VPN erreichbar.

0 Einträge da SSH auf nem anderen Port.

Wir haben eine Zeit lang die Angreifer mit fail2ban gebannt und setzen ohnehin nur auf Keys.

Aber selbst die 3-5 Einträge pro Angreifer waren uns dann zu blöde, sodass wir den Port auf jedem System verlegt haben.

Was mir bis jetzt ein Rätsel ist:

Ich stelle sshd_config so ein, dass als einziges Auth Verfahren ein Key zum Zuge kommt. Versuche ich mich dann per Putty einzuloggen ohne einen Key, schließt sich das Fenster einfach bevor es möglich ist irgendwas einzugeben und es steht nichts in den Logs.
So müsste es ja normal auch bei diesen PW Brutern sein - nur warum ist es hier möglich ein PW zu übersenden welches dann geloggt wird?

aubergine wrote:...
So müsste es ja normal auch bei diesen PW Brutern sein - nur warum ist es hier möglich ein PW zu übersenden welches dann geloggt wird?

Vielleicht solltest du mal "PasswordAuthentication" auf "no", aber auch "UsePam" auf "no" setzen, denn so dürfte keine 2. Möglichkeit mehr angeboten werden, sich zu authentifizieren.

Roger Wilco wrote: Heute etwa 2500 Versuche.

uih, das ist viel...

aubergine wrote:0 Einträge da SSH auf nem anderen Port.
Wir haben eine Zeit lang die Angreifer mit fail2ban gebannt und setzen ohnehin nur auf Keys.

Den Port umzuverlegen, scheint mir auch die einzig vernünftige Lösung zu sein. Zugang zu den Servern gibt es auch nur per Key und gleichzeitig wird ein Versuch geloggt.

aubergine wrote: Was mir bis jetzt ein Rätsel ist:

Ich stelle sshd_config so ein, dass als einziges Auth Verfahren ein Key zum Zuge kommt. Versuche ich mich dann per Putty einzuloggen ohne einen Key, schließt sich das Fenster einfach bevor es möglich ist irgendwas einzugeben und es steht nichts in den Logs.
So müsste es ja normal auch bei diesen PW Brutern sein - nur warum ist es hier möglich ein PW zu übersenden welches dann geloggt wird?

grandcat wrote: Vielleicht solltest du mal "PasswordAuthentication" auf "no", aber auch "UsePam" auf "no" setzen, denn so dürfte keine 2. Möglichkeit mehr angeboten werden, sich zu authentifizieren.

Ja, so habe ich es auch.

Das sofortige Schließen der ssh-session kenn ich nur wenn mit authorized_keys gearbeitete wird aber keine key angelgt ist.

Was macht Ihr das mit Angriffen auf den apachen die genau so häufig sind? Auch Port verlegen?:-D
/var/log/apache2/error.log
[error] [client 207.14.166.253] File does not exist: /var/www/sharedip/main.php
[error] [client 207.14.166.253] File does not exist: /var/www/sharedip/mysqladmin
[error] [client 207.14.166.253] File does not exist: /var/www/sharedip/phpmyadmin2
[error] [client 207.14.166.253] File does not exist: /var/www/sharedip/mysql-admin
[error] [client 207.14.166.253] File does not exist: /var/www/sharedip/admin
[error] [client 207.14.166.253] File does not exist: /var/www/sharedip/web
[error] [client 207.14.166.253] File does not exist: /var/www/sharedip/dbadmin
[error] [client 207.14.166.253] File does not exist: /var/www/sharedip/db
[error] [client 207.14.166.253] File does not exist: /var/www/sharedip/admin
[error] [client 207.14.166.253] File does not exist: /var/www/sharedip/mysql

grandcat wrote:

aubergine wrote:...
So müsste es ja normal auch bei diesen PW Brutern sein - nur warum ist es hier möglich ein PW zu übersenden welches dann geloggt wird?

Vielleicht solltest du mal "PasswordAuthentication" auf "no", aber auch "UsePam" auf "no" setzen, denn so dürfte keine 2. Möglichkeit mehr angeboten werden, sich zu authentifizieren.

Hab ich doch oben geschrieben, sonst wäre es ja kein Key only

djcrackman wrote: Niente, SSHd auf das interne Netz verbogen. Ist nur noch per VPN erreichbar.

Wie verbiegst Du denn den SSHd?

@tomotom Wie ich den verberge? Ich binde ihn an eine IP. Da ich in meinen Kisten grundsätzlich 2 NICs (eine ist public und eine geht auf meinen Backbone-Switch) verbaut habe, stellt das kein Problem dar. Für jene die keine 2 NICs haben: es bietet sich doch an, eine zweite IP für die NIC zu vergeben und SSHd an eben diese IP zu binden - oder direkt an 127.0.0.1.

Beim üblichen 3,5 EURO-Rootserver haken wir das dann mal unter Theorie ab ... :-)

Back to Topic: Ich sehe dank fail2ban auch immer nur vier Versuche.

flo.

Beim üblichen 3,5 EURO-Rootserver haken wir das dann mal unter Theorie ab ...

Mhm, der Switch wird dir 127.0.0.0/8 sicher rausfilter :roll: