Moin Andreas, Am 2005-07-31 10:29:36, schrieb Andreas Appenheimer: > Hallo Welt, > > in letzter Zeit häufen sich wieder die SSH-BruteForce Attacken und ich > bin darüber ziemlich abgenervt. Hauptgrund wahrscheinlich, weil einer > meiner Root-Server mal über ein php-Forum von einem meiner Kunden > gehackt wurde und der Angreifer es geschafft ein rootkit zu installieren. C'est la vie! > Frage(n): > * Wie gefährlich sind diese Attacken wirklich? Ich habe pro Tag 5-200 Dictionary Attacken auf meinen SSH. Seit gut 1 1/2 Jahren. Mittlerweile ignoriere ich sie. Und damit meine Syslog nicht eplodiert und unübersichtlich wird, habe ich für den sshd einen eigene logdatei angelegt. > * Ist es sinnvoll an den jeweiligen abuse@ISP 'ne Meldung zu schicken? JA, wenn aus den IP's der Providers die Attacken sich häufen. (Du benötigst dafür ALLE logdateien als Beweis) > * Ist es sinnvoll bzw. überhaupt möglich solche IPs zu > bannen/blocken(quasi als Sanktion)? Ich bin noch am basteln aber nicht sehr weit gekommen. Man kann in der /etc/hosts.allow sowas wie sshd: ALL: (/bin/echo "Zugriff von %c auf %s" |\ /usr/bin/mail -s "%d-Zugriff" linux4michelle@freenet.de) da reinmachen oder andere scripts die dann dynamisch iptables setzen. und nach einer gewissen zeit wieder löschen. Ich will es so machen: 1) 3 maliger Fehlzugriff IP wird eine Stunge gesperrt 2) 2 malige IP Sperrung am TAG IP wird 24 Stunden gesperrt 3) 2 mal 24h Sperre pro Woche Ich benachrichtige den ISP. > Derzeit hab ich ein kleines Shell-Skript geschrieben, was > Teil a) mir die Auszüge der Logs bei Angriffen zusendet > Teil b) über gwhois dann den jeweiligen ISP ermittelt, nebst > herausgefilterten Emailadresse(n) und dann an diesen mit ner > entsprechenden Mitteilung den Log-Auszug sendet. So ungefähr mache ich es auch. > Es erinnert mich aber irgendwie an die früheren Zeiten kurz nach > Fidonet, wo man noch bei SPAM an die abuses gemailt hat oder sich > zusammen gerottet hat und Teergruben baute. :-D :-D :-D :-D :-D :-D :-D :-D :-D :-D > Genutzt hat es (wie man heute sieht) ja nicht wirklich etwas. Genau. > Dennoch... mir gehen diese Attacken etwas sehr auf die Nerven. Lösung: Ganz lange passwörter verwenden und statt in Syslog in eine eigenen Datei loggen > Kunden werden nun "erzogen", wenn sie ein CMS verwenden auch die > jeweiligen Exploits im Auge zu behalten und ohne "echter" Administration > werden solche Systeme auf dem Kundenserver nicht mehr geduldet. > Ferner wöchentliche "Nerv-Mails" wenn eins meiner SuchMuster-Skripte > solche Sachen wie "phpBB" findet, dann entsprechende Mails an den Kunden > geschickt werden: "Du hast phpBB installiert. Vergiss die Patches nicht!" Was sagen die Kunden dazu ? > Gruß > Andreas Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/88452356 67100 Strasbourg/France IRC #Debian (irc.icq.com)
Attachment:
signature.pgp
Description: Digital signature