Unbekannte IP versucht sich am Homeserver einzuloggen
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
adresse
art
beispiel
empfehlen
http
interessieren
jemand
login
port
schauen
sekunde
server
software
sperren
tag
umlegen
url
versuchen
vorgeschlagen port
zeichen
-
Hallo alle zusammen.
Ich betreibe zuhause einen Ubuntu-tag/server">Server; nur zu Experimentierzwecken, als Spieleserver und um die Bedienung der bash zu lernen. Über Nacht ist dieser ausgeschaltet. Natürlich habe ich ihn abgesichert, mit KeyFile, Fail2Ban, etc..
Nun kommt es ab und zu vor, dass ich beim Durchstöbern der Logs Einloggversuche von unbekannten IPs bemerke, die versuchen, über die noip-domain auf SSH zuzugreifen. Das ist, dank passender Absicherung und non 24/7 für mich persönlich kein Problem.
Aber es macht mir Sorgen, dass die Angriffe von kompromittierten Servern ahnungsloser User kommen könnte, ist es sinnvoll, abuse-Meldungen an die Serverhoster, in diesem Fall meist Ecatel zu schicken oder werden diese sowieso nicht beachtet?
Hier noch ein Beispiel:
Mar 10 22:34:18 ubuntu sshd[13735]: Invalid user admin from 93.174.xx.xx Mar 10 22:34:18 ubuntu sshd[13735]: input_userauth_request: invalid user admin [preauth] Mar 10 22:34:18 ubuntu sshd[13735]: pam_unix(sshd:auth): check pass; user unknown Mar 10 22:34:18 ubuntu sshd[13735]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=93.174.xx.$ Mar 10 22:34:19 ubuntu sshd[13735]: Failed password for invalid user admin from 93.174.xx.xx port 37853 ssh2 Mar 10 22:34:19 ubuntu sshd[13735]: Received disconnect from 93.174.xx.xx: 11: PECL/ssh2 (http://pecl.php.net/packages/ssh2) [preauth]
Lg Looki
Beitrag zuletzt geändert: 11.3.2014 21:05:54 von eicluca -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Hallo
Das passiert bei einem richtigen Server teils tausendfach pro Tag. Selbst wenn du eine abuse mail schreibst, es wird immer kompromittierte Rechner geben. Wenn du automatisiert abuse Mails schreibst, wird dein Mailserver eventuell auf eine Spamliste gesetzt.
Deswegen ändere ich bei allen Diensten, zumindest wenn möglich, den Port. Seitdem hatte ich noch nie einen login Versuch über SSH.
Selbst wenn das Bots sind, die nur Passwörter wie 1234 ausprobieren, mich ärgerte es, dass z.B. die "Hackersuchmaschine" shodan meinen Server abtastete (und damit auch noch Geld verdient). Insofern ist es meiner Meinung nach nicht nur "security through obscurity", wenn man sich dem Grundrauschen entzieht.
mfg
Beitrag zuletzt geändert: 11.3.2014 21:34:08 von voloya -
als ich damals meinen vserver neu aufgesetzt habe, hatte ich in den ersten 2 Tagen ohne fail2bann schon probleme mit der Größe der logfiles. Trotzdem kamen noch angriffe von mehreren tausend ip-adressen pro Tag. Großteils intern aus dem Strato netz. Das wechseln der ports bringt hier recht viel, aber auch die klassischen hinweise wie nicht die Standartbenutzernamen verwenden etc.
Wenn also ab und zu mal angriffe rein kommen muss man sich keine sorgen machen. Der ipv4 Bereich ist klein genug, dass Hacker mit etwas aufwand alle ip adressen ausprobieren können. -
Ich würde die IP mal bei http://www.utrace.de eingeben und schauen was und wo es ist. Meist ist es etwas harmloses. Sonst würde ich die IP einfach sperren.
-
nicelikebagels schrieb:
Ich würde die IP mal bei http://www.utrace.de eingeben und schauen was und wo es ist. Meist ist es etwas harmloses. Sonst würde ich die IP einfach sperren.
Joa, habe ich schon. Die IP gehört zu Ecatel, einem glaub holländischen Hoster, deshalb denke ich ja, dass dieser Server kompromittiert war. -
eicluca schrieb:
nicelikebagels schrieb:
Ich würde die IP mal bei http://www.utrace.de eingeben und schauen was und wo es ist. Meist ist es etwas harmloses. Sonst würde ich die IP einfach sperren.
Joa, habe ich schon. Die IP gehört zu Ecatel, einem glaub holländischen Hoster, deshalb denke ich ja, dass dieser Server kompromittiert war.
Ja, das wird wohl bedeuten, dass diese IP alles sein kann. Ich würde sie(wenn möglich) blockieren, denn besser zu früh als zu spät. -
Hallo
nicelikebagels schrieb:
Ich würde die IP mal bei http://www.utrace.de eingeben und schauen was und wo es ist. Meist ist es etwas harmloses. Sonst würde ich die IP einfach sperren.
Ach ja? Was für IP Adressen wären denn harmlos? Entweder eine Maschine, egal ob Server oder Heimcomputer, ist kompromittiert, oder eben nicht.
mfg -
voloya schrieb:
Hallo
nicelikebagels schrieb:
Ich würde die IP mal bei http://www.utrace.de eingeben und schauen was und wo es ist. Meist ist es etwas harmloses. Sonst würde ich die IP einfach sperren.
Ach ja? Was für IP Adressen wären denn harmlos? Entweder eine Maschine, egal ob Server oder Heimcomputer, ist kompromittiert, oder eben nicht.
mfg
Wenn die IP Adresse "nur" von einer Spider stammt, ist es meistens harmlos. Bei einer Spider kann man davon ausgehen, dass es eine Suchmaschine ist, die versucht die IP in den Index zu nehmen. -
Hallo
nicelikebagels schrieb:
Wenn die IP Adresse "nur" von einer Spider stammt, ist es meistens harmlos. Bei einer Spider kann man davon ausgehen, dass es eine Suchmaschine ist, die versucht die IP in den Index zu nehmen.
Bei einem crawler gibt es aber kein" authentication failure;".
mfg -
Statt Fail2Ban würd ich dir unbedingt Denyhosts empfehlen.
Fail2Ban reagiert nur, wenn der Nutzer sich auf einen legalen Account, also einen existierenden, einloggbaren, versucht einzuloggen (außer du passt die RegEx selbst an). Denyhosts wertet jeden Loginversuch als versuch, ob der Account existiert oder nicht. Das hat den Vorteil, dass die Gegenstelle garnicht erst den richtigen Nutzernamen findet.
Mein Server stand auch ne ganze Weile unter Wörterbuchangriffen aus China, da is mit das aufgefallen. Denyhosts filtert sehr zuverlässig alles raus (auch reale Nutzer die zu blöd für ihr Passwort sind). Seit ich Denyhosts am laufen habe, hab ich fast keine Loginversuche mehr. Portwechsel hat bei mir übrigens so ungefähr 45min vorgehalten. Nach 45min waren wieder die gleichen IPs am einloggen versuchen.
Liebe Grüße -
voloya schrieb:
Hallo
nicelikebagels schrieb:
Wenn die IP Adresse "nur" von einer Spider stammt, ist es meistens harmlos. Bei einer Spider kann man davon ausgehen, dass es eine Suchmaschine ist, die versucht die IP in den Index zu nehmen.
Bei einem crawler gibt es aber kein" authentication failure;".
mfg
Achja, der authenticafion failure... Stimmt...
Ein Crawler würde wohl kaum versuchen sich einzuloggen.
Dann würde ich die IP einfach sperren und nicht viel nachdenken. -
Wie schon vorgeschlagen Port umlegen und weiterhin würde ich dir neben fail2ban (oder eben denyhost) empfehlen die Authentifizierung mittels Passwort zu verbieten und via private/public key zu authentifizieren.
Soweit ich es bisher in den Logs auf meinen Servern sehe kommt da nichts.
MaxStartups 3 # maximal 3 Authentifizierungen gleichzeitig MaxAuthTries 3 # maximal 3 Versuche LoginGraceTime 20 # Zeit bis timeout (Achtung bei langsamen Server ggf. hochsetzen, sonst kann man sich auch mal selber aussperren...) PasswordAuthentication no # keine Passwörter erlauben UsePam no PermitEmptyPasswords no RSAAuthentication no PubkeyAuthentication yes AuthorizedKeysFile %h/.ssh/authorized_keys # der private key des verbindenden Benutzers liegt im Benutzerverzeichnis/.ssh/authoreized_keys
Bezgl. einer Abuse Mail:
Auf keinen Fall automatisiert, falls jemand die Absender IP fälscht spammst du möglicherweise Unbeteiligte zu.
Auf Spamlisten landest du auf die Art und Weise auch schnell.
Am sinnigsten ist es ggf. von Zeit zu Zeit ein paar IPs zu checken. Wenn welche aus dem deutschen Raum dabei sind, lohnt sich ggf. ein Abuse.
Abuse in anderen Ländern - außer der Hoster/Provider hat eine deutsche Niederlassung wie z.B. leaseweb.nl - ist meist verschwendete Zeit.
Beitrag zuletzt geändert: 16.3.2014 0:03:38 von lucas9991 -
Hallo
lucas9991 schrieb:
Wie schon vorgeschlagen Port umlegen und weiterhin würde ich dir neben fail2ban (oder eben denyhost) empfehlen die Authentifizierung mittels Passwort zu verbieten und via private/public key zu authentifizieren.
Fail2ban und key?
Ich bin ja eher ein Verfechter von "so viel wie nötig, so wenig wie möglich". Dass jemand ein Passwort mit möglicherweise A-Za-z0-9 knackt ist schon mit 8 Zeichen extrem unwahrscheinlich (Internet limitiert Versuche pro Sekunde quasi automatisch). Mit einem * oder # dazu ist es quasi unmöglich.
Ports ändere ich nur, weil sonst die logs so schnell volllaufen und weil ich nicht möchte, dass shodan etc. zu "Sicherheitszwecken" meine Dienste scannt und die gewonnenen Informationen "gegen ein Entgelt zur Verfügung stellt, damit Missbrauch eingeschränkt wird" (sinngemäße Antwort auf eine Anfrage von mir).
Im durchschnittlichen IRC bin ich alleine mit der Meinung, da muss immer mindestens f2b, key, sms 2 factor auth, root login deaktiviert, port geändert, login nur von VPN IP range erlaubt, etc. . Wem es Spaß macht..
mfg -
voloya schrieb:
Hallo
lucas9991 schrieb:
Wie schon vorgeschlagen Port umlegen und weiterhin würde ich dir neben fail2ban (oder eben denyhost) empfehlen die Authentifizierung mittels Passwort zu verbieten und via private/public key zu authentifizieren.
Fail2ban und key?
Ich bin ja eher ein Verfechter von "so viel wie nötig, so wenig wie möglich". Dass jemand ein Passwort mit möglicherweise A-Za-z0-9 knackt ist schon mit 8 Zeichen extrem unwahrscheinlich (Internet limitiert Versuche pro Sekunde quasi automatisch). Mit einem * oder # dazu ist es quasi unmöglich.
[...]
Acht Zeichen bietet nicht so eine Kombinationsvielfalt wie du vllt denkst.
Insbesondere solltest du bedenken, dass viele Server 24/7 laufen und das über mehrere Jahre!
Schau dir mal die logs an, dann wirst du sehen wie viele Verbindung auf Port 22 einprasseln. Ich denke nicht, dass man (mit den Standardeinstellungen) mit einem acht Zeichen langem Passwort da gewappnet ist.
SMS 2 Factor Auth halte ich für unkomfortabel und fehleranfällig(Akku leer, neue Handynummer, Handy geklaut, Handy vergessen etc.).
Root Login sollte man sowieso deaktivieren. So muss der etwaige uninformierte Angreifer Benutzername und Passwort raten.
Port ändern sowieso, sonst prasselt da eine Menge Datenflut auf deinen Server ein.
VPN ist durchaus sinnvoll, aber meist fehleranfällig/schlecht zu debuggen und nicht so flexibel, wenn man mal von einem anderen PC auf seinen Server möchte.
IP Range z.B. von Deutschland ist auch eine angenehme Methode die Logs klein zu halten. Falls dann doch mal etwas durchkommt kann man sich dann auch direkt an den Hoster/Provider wenden, in Deutschland werden die meiner Erfahrung nach meist schnell tätig.
Die ganzen Sicherheitsmaßnahnmen werden meist nicht aus Spaß umgesetzt, sondern um den eigenen Server und die Gefahr für eine zivil- oder strafrechtliche Haftung (für die Taten des eigenen Server durch Dritte) zu reduzieren.
Am besten fahre ich zur Zeit mit einem TrueCrypt Container in dem mein Zertifikat für meine Server liegt. Wenn man den Container immer im gleichen Laufwerk einbindet kann man bei putty auch feste Pfade einstellen. -
Hallo
lucas9991 schrieb:
Acht Zeichen bietet nicht so eine Kombinationsvielfalt wie du vllt denkst.
Insbesondere solltest du bedenken, dass viele Server 24/7 laufen und das über mehrere Jahre!
Schau dir mal die logs an, dann wirst du sehen wie viele Verbindung auf Port 22 einprasseln. Ich denke nicht, dass man (mit den Standardeinstellungen) mit einem acht Zeichen langem Passwort da gewappnet ist.
Das ist doch eine einfache Wahrscheinlichkeitsrechnung:
Beispielpasswort:
der3*Gyh
63 Kombinationen pro Zeichen, 100k Versuche pro Sekunde ~ 28720 Tage. Selbst wenn der Angreifer nur 1% der Kombinationen durchprobieren muss und wenn der Server bei solch einer Masse an Anfragen nicht in die Knie geht und wenn der Betreiber einen solchen Angriff nicht bemerkt, es dauert einfach viel zu lange.
Server werden doch eigentlich nur durch Passwörter wie "1234" und Exploits übernommen. Bei Firmen liegt es meist an irgendeinem trotteligen Mitarbeiter. Beispiel OVH
Geheimdienste verwenden einfach einen Trojaner, da hilft gemountetes Truecrypt auch nicht.. http://www.truecrypt.org/docs/security-model
mfg
-
voloya schrieb:
Hallo
lucas9991 schrieb:
Wie schon vorgeschlagen Port umlegen und weiterhin würde ich dir neben fail2ban (oder eben denyhost) empfehlen die Authentifizierung mittels Passwort zu verbieten und via private/public key zu authentifizieren.
Fail2ban und key?
Ich bin ja eher ein Verfechter von "so viel wie nötig, so wenig wie möglich". Dass jemand ein Passwort mit möglicherweise A-Za-z0-9 knackt ist schon mit 8 Zeichen extrem unwahrscheinlich (Internet limitiert Versuche pro Sekunde quasi automatisch). Mit einem * oder # dazu ist es quasi unmöglich.
Ports ändere ich nur, weil sonst die logs so schnell volllaufen und weil ich nicht möchte, dass shodan etc. zu "Sicherheitszwecken" meine Dienste scannt und die gewonnenen Informationen "gegen ein Entgelt zur Verfügung stellt, damit Missbrauch eingeschränkt wird" (sinngemäße Antwort auf eine Anfrage von mir).
Im durchschnittlichen IRC bin ich alleine mit der Meinung, da muss immer mindestens f2b, key, sms 2 factor auth, root login deaktiviert, port geändert, login nur von VPN IP range erlaubt, etc. . Wem es Spaß macht..
mfg
Mich würde mal interessieren, wie lange du schon auf diese minimalistische Art und Weise Server abischerst ? Hört sich nämlich ziemlich , gefährlich an. -
Hallo
thedevblog schrieb:
Mich würde mal interessieren, wie lange du schon auf diese minimalistische Art und Weise Server abischerst ? Hört sich nämlich ziemlich , gefährlich an.
Wahnsinnig argumentativ untermauerte Aussage. Zeig mir doch einen Admin, dessen SSH Zugang mit einigermaßen sicherem Passwort gehackt wurde.
Das, was die bots da machen, ist kein bruteforce, sondern ein Wörterbuchangriff mit den 100 meistgenutzten Passwörtern.
http://labs.sucuri.net/dump/sshd_bruteforce_list.txt <- Beispiel
Alles andere würde, siehe Beispielrechnung, viel zu lange dauern.
mfg -
voloya schrieb:
Hallo
thedevblog schrieb:
Mich würde mal interessieren, wie lange du schon auf diese minimalistische Art und Weise Server abischerst ? Hört sich nämlich ziemlich , gefährlich an.
Wahnsinnig argumentativ untermauerte Aussage. Zeig mir doch einen Admin, dessen SSH Zugang mit einigermaßen sicherem Passwort gehackt wurde.
Das, was die bots da machen, ist kein bruteforce, sondern ein Wörterbuchangriff mit den 100 meistgenutzten Passwörtern.
http://labs.sucuri.net/dump/sshd_bruteforce_list.txt <- Beispiel
Alles andere würde, siehe Beispielrechnung, viel zu lange dauern.
mfg
Du weißt aber schon, dass auch SSH und andere Software ab und zu Sicherheitslücken haben oder?
Dann hilft dir dein supertolles Passwort bei Standardkonfiguration garnichts mehr.
Wenn du dir nicht mal die Mühe machst dein System etwas detailierter zu konfigurieren bezweifle ich, dass du bei einer Sicherheitslücke dich hinsetzt, den Patch runterlädst und die Software eigenhändig neu kompilierst. -
Hallo
reimann schrieb:
Du weißt aber schon, dass auch SSH und andere Software ab und zu Sicherheitslücken haben oder?
Dann hilft dir dein supertolles Passwort bei Standardkonfiguration garnichts mehr.
Wenn du dir nicht mal die Mühe machst dein System etwas detailierter zu konfigurieren bezweifle ich, dass du bei einer Sicherheitslücke dich hinsetzt, den Patch runterlädst und die Software eigenhändig neu kompilierst.
Du weißt aber schon, dass bei einer Sicherheitslücke weder key noch selbst komilierte Software helfen?
mfg -
thedevblog schrieb:
voloya schrieb:
Hallo
lucas9991 schrieb:
Wie schon vorgeschlagen Port umlegen und weiterhin würde ich dir neben fail2ban (oder eben denyhost) empfehlen die Authentifizierung mittels Passwort zu verbieten und via private/public key zu authentifizieren.
Fail2ban und key?
Ich bin ja eher ein Verfechter von "so viel wie nötig, so wenig wie möglich". Dass jemand ein Passwort mit möglicherweise A-Za-z0-9 knackt ist schon mit 8 Zeichen extrem unwahrscheinlich (Internet limitiert Versuche pro Sekunde quasi automatisch). Mit einem * oder # dazu ist es quasi unmöglich.
Ports ändere ich nur, weil sonst die logs so schnell volllaufen und weil ich nicht möchte, dass shodan etc. zu "Sicherheitszwecken" meine Dienste scannt und die gewonnenen Informationen "gegen ein Entgelt zur Verfügung stellt, damit Missbrauch eingeschränkt wird" (sinngemäße Antwort auf eine Anfrage von mir).
Im durchschnittlichen IRC bin ich alleine mit der Meinung, da muss immer mindestens f2b, key, sms 2 factor auth, root login deaktiviert, port geändert, login nur von VPN IP range erlaubt, etc. . Wem es Spaß macht..
mfg
Mich würde mal interessieren, wie lange du schon auf diese minimalistische Art und Weise Server abischerst ? Hört sich nämlich ziemlich , gefährlich an.
Die lima-city Server haben folgende Sicherheitsmechanismen für SSH:
- PubKey Auth, Password Auth ist abgeschaltet. Da kommt einfach so gut wie nichts mehr durch.
- fail2ban - wer noch mehrfach PubKey-Auth versucht wird gebannt. Das sind ca. 80 Pro Woche ~ 12 Pro Tag.
PubKey Auth ist ein großer Sicherheitsgewinn. Der Angreifer
a) weiss, dass es keine schwachen Passwörter gibt, die er probieren kann und wird wahrscheinlich aufgeben
b) müsste einen 1024 oder 2048-Bit Key herausfinden. Da ist die Grenze die physikalische Unmöglichkeit des Brute-Force dann längst erreicht.
In diesem Sinne ist die PubKey-Auth die beste Absicherung mit minimalem Aufwand, die man seinem Server gönnen kann (und sollte!). -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage