Moin Andreas,
Am 2005-07-31 10:29:36, schrieb Andreas Appenheimer:
> Hallo Welt,
>
> in letzter Zeit häufen sich wieder die SSH-BruteForce Attacken und ich
> bin darüber ziemlich abgenervt. Hauptgrund wahrscheinlich, weil einer
> meiner Root-Server mal über ein php-Forum von einem meiner Kunden
> gehackt wurde und der Angreifer es geschafft ein rootkit zu installieren.
C'est la vie!
> Frage(n):
> * Wie gefährlich sind diese Attacken wirklich?
Ich habe pro Tag 5-200 Dictionary Attacken auf meinen SSH.
Seit gut 1 1/2 Jahren. Mittlerweile ignoriere ich sie.
Und damit meine Syslog nicht eplodiert und unübersichtlich
wird, habe ich für den sshd einen eigene logdatei angelegt.
> * Ist es sinnvoll an den jeweiligen abuse@ISP 'ne Meldung zu schicken?
JA, wenn aus den IP's der Providers die Attacken sich häufen.
(Du benötigst dafür ALLE logdateien als Beweis)
> * Ist es sinnvoll bzw. überhaupt möglich solche IPs zu
> bannen/blocken(quasi als Sanktion)?
Ich bin noch am basteln aber nicht sehr weit gekommen.
Man kann in der /etc/hosts.allow sowas wie
sshd: ALL: (/bin/echo "Zugriff von %c auf %s" |\
/usr/bin/mail -s "%d-Zugriff" linux4michelle@freenet.de)
da reinmachen oder andere scripts die dann dynamisch iptables setzen.
und nach einer gewissen zeit wieder löschen.
Ich will es so machen:
1) 3 maliger Fehlzugriff IP wird eine Stunge gesperrt
2) 2 malige IP Sperrung am TAG IP wird 24 Stunden gesperrt
3) 2 mal 24h Sperre pro Woche Ich benachrichtige den ISP.
> Derzeit hab ich ein kleines Shell-Skript geschrieben, was
> Teil a) mir die Auszüge der Logs bei Angriffen zusendet
> Teil b) über gwhois dann den jeweiligen ISP ermittelt, nebst
> herausgefilterten Emailadresse(n) und dann an diesen mit ner
> entsprechenden Mitteilung den Log-Auszug sendet.
So ungefähr mache ich es auch.
> Es erinnert mich aber irgendwie an die früheren Zeiten kurz nach
> Fidonet, wo man noch bei SPAM an die abuses gemailt hat oder sich
> zusammen gerottet hat und Teergruben baute.
:-D :-D :-D :-D :-D :-D :-D :-D :-D :-D
> Genutzt hat es (wie man heute sieht) ja nicht wirklich etwas.
Genau.
> Dennoch... mir gehen diese Attacken etwas sehr auf die Nerven.
Lösung: Ganz lange passwörter verwenden und statt
in Syslog in eine eigenen Datei loggen
> Kunden werden nun "erzogen", wenn sie ein CMS verwenden auch die
> jeweiligen Exploits im Auge zu behalten und ohne "echter" Administration
> werden solche Systeme auf dem Kundenserver nicht mehr geduldet.
> Ferner wöchentliche "Nerv-Mails" wenn eins meiner SuchMuster-Skripte
> solche Sachen wie "phpBB" findet, dann entsprechende Mails an den Kunden
> geschickt werden: "Du hast phpBB installiert. Vergiss die Patches nicht!"
Was sagen die Kunden dazu ?
> Gruß
> Andreas
Greetings
Michelle
--
Linux-User #280138 with the Linux Counter, http://counter.li.org/
Michelle Konzack Apt. 917 ICQ #328449886
50, rue de Soultz MSM LinuxMichi
0033/3/88452356 67100 Strasbourg/France IRC #Debian (irc.icq.com)
Attachment:
signature.pgp
Description: Digital signature