Fragen zu SSH & Portscan

[einmalik]

Hi Leute !

Also wo fangen wir an, bin neu hier... ach ne hmmmm...lassen wir das
... ok ich hab nen Linux Server mit Suse Distribution(Verwaltung : Plesk) powered by 1&1.

Da ich in letzter Zeit vermehrt Sicherheitsprobleme per BruteForce Attacken hatte, dachte ich mir es mal mit nem Portwechsel von 22 auf xxxxx zu versuchen(ich weis es gibt noch andere Methoden aber irgendwo müssen wir ja mal anfangen). Also die sshd.config geändert und den daemon neugestartet, nur leider kann ich mich immer noch auf 22 als root einloggen und auf den anderen Port gibts keinen Zugriff. Woran kann das liegen? Ja ich habe die Forensuche benutzt, ich habe auch gegoogelt aber nichts passendes bzw. hilfreiches zu meinem Problem gefunden. Ich hoffe Ihr habt noch eine Idee.. Was meint Ihr?

zu meiner zweiten Sache:

Wenn ich mich schon mit Sicherheitsfragen auseinander setze habe ich gleich mal mit nem Portscanner den Server von Aussen gescannt. Erschreckend : active hosts:1 open ports :29

Ich meine es müssen ja die wichtigsten offen sein, aber ist das normal das es so viele sind ?

Ps: gescannt wurde vom localhost daheim

Auszug
21
22
25
53
80
81
82
83
110
119
106
200
143
443
465
563
993
995
1080
1110
3128
4643
7900
8000
8080
8088
8443
8880
8888
11523

Danke schonmal..hoffe Ihr könnt helfen

[Roger Wilco]

Also die sshd.config geändert und den daemon neugestartet, nur leider kann ich mich immer noch auf 22 als root einloggen und auf den anderen Port gibts keinen Zugriff.

Hast du auch die richtige Konfigurationsdatei geändert? Bitte auch beachten, dass die aktuell offene Verbindung bei einem "/etc/init.d/sshd restart" nicht geschlossen wird. Logge dich aus SSH aus und starte den Dienst über Plesk oder Virtuozzo neu.

Ich meine es müssen ja die wichtigsten offen sein, aber ist das normal das es so viele sind ?

21 -> FTP
22 -> SSH
25 -> SMTP
53 -> DNS
80 -> HTTP
81 -> ?
82 -> ?
83 -> ?
110 -> POP3
119 -> NNTP
106 -> Auth Dienst
200 -> ?
143 -> IMAP
443 -> HTTPS
465 -> SMTPS
563 -> ?
993 -> POP3S
995 -> IMAPS
1080 -> ?
1110 -> ?
3128 -> ?
4643 -> Virtuozzo
7900 -> ?
8000 -> ?
8080 -> ?
8088 -> ?
8443 -> Plesk (HTTPS)
8880 -> Plesk (HTTP)
8888 -> ?
11523 -> ?

Bei den Ports mit "?" solltest du direkt auf deinem Virtual-Server überprüfen, was da läuft (`man netstat`, `man lsof`, `man ps`), und dann alle Dienste beenden, die du nicht benötigst.

[einmalik]

Danke für die schnelle Antwort,

ja ich hab den port 22 auf xxxxx in der sshd.config und auch in der ssh.config geändert, über linux direkt den daemon neugestartet und zur Absicherung auch nochmal übers Virtuozzo, es geht trotzdem nicht...

Zur zweiten Sache, hab mir die Ports angeschaut da gibt es jetzt nichts unsicheres, also kein troj/backdoor/rootkit... das den Port offen hält, denk ich mal! es kommen mir alle Dienste bekannt vor und ich schau jetzt mal was ich brauch und was nicht und schließe unnötig offene ports.

Hätte nur noch eine Frage : Wie kann ich diese schließen??

thx

[Joe User]

ja ich hab den port 22 auf xxxxx in der sshd.config und auch in der ssh.config geändert,

Bitte nur in der /etc/ssh/sshd_config und nicht in der /etc/ssh/ssh_config

über linux direkt den daemon neugestartet und zur Absicherung auch nochmal übers Virtuozzo, es geht trotzdem nicht...

Du loggst Dich aber nicht über die Remote-Console ein?

Hätte nur noch eine Frage : Wie kann ich diese schließen??

Indem Du die zugehörigen Dienste beendest und deinstallierst.

[einmalik]

Ich log mich über putty/ssh ganz normal ein.

Noch etwas zu den Ports : Ich sag mal es sind ja recht viele offen bzw. werden von einem dahinterstehenden Prog verwendet.. die ohne Fragezeichen(siehe oben) sind ja alle obligatorisch oder? die mit Fragezeichen schau ich mir nochmal genauer an..

Ok ich versuch das mit ssh nochmal,mein Prof für Computersicherheit hat mir heut auch geraden es mal mit iptables zu versuchen(bezogen auf die BF Attacken)... hab mir heut ein Buch aus der Hochschule über dedicated webserver & vserver (einrichten & administrieren) geholt, ist sehr gut ,werd mirs mal in Ruhe anschauen, ich denk so lernt mans am Besten richtig, außerdem enthält es einen großen Bereich der sehr viele Möglichkeiten der Sicherheit von Linux/Unix Servern aufzeigt.

[flo]

mein Prof für Computersicherheit hat mir heut auch geraden es mal mit iptables zu versuchen(bezogen auf die BF Attacken)...

ich glaub, er überschätzt Deine Freizeit ... Wenn ich jede Ip sperren würde, von der irgendwann mal ein falsches PW oder ein falscher User kommt, wäre ich schneller fertig, wenn ich die freigegebenen definiere.

Was unter Umständen helfen könnte wäre ein Tool, das die Sperrungen automatisch vornimmt - aber das auch nur unter Vorbehalt.

Gib die Auth nur per key frei - dann kann Dir prinzipiell egal sein, wie oft sich jemand in Deinen sshd hacken möchte.

[framp]

Auszug von hier :

1. Nicht standard ssh Portbenutzen (Port Zeile in sshd_config)
2. denyhosts
3. VPN einrichten
4. Port Knocking
5. iptables
6. fail2ban
7. vuurmuur

oder

Code: Select all

iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 1200 --hitcount 2  --rttl --name SSH -j LOG --log-prefix SSH_brute_force
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 1200 --hitcount 2  --rttl --name SSH -j DROP

PS: Gibt sogar Möglichkeiten einen ssh Angriff per iptables so umzuleiten, dass er sich selbst angreift ;-) Allerdings wird dann Deine Bandbreite benutzt :-( .