[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: SSH-BruteForce-Attacken

Moin Michelle,

>> [..] php-Forum von einem meiner Kunden
>>gehackt wurde und der Angreifer es geschafft ein rootkit zu installieren.
> C'est la vie!
:)

>>Frage(n):
>>* Wie gefährlich sind diese Attacken wirklich?
> Ich habe pro Tag 5-200 Dictionary Attacken auf meinen SSH.
> Seit gut 1 1/2 Jahren.  Mittlerweile ignoriere ich sie.
> Und damit meine Syslog nicht eplodiert und unübersichtlich
> wird, habe ich für den sshd einen eigene logdatei angelegt.

Gut..  bis zum o.g. Einbruch habe ich es ähnlich betrachtet. Doch ich
denke, ich werde da dann mal wieder etwas mehr Gelassenheit üben :-)

Du hattest doch solch Server zu administreiren mit >17.000 Usern oder so?


>>* Ist es sinnvoll an den jeweiligen abuse@ISP 'ne Meldung zu schicken?
> JA, wenn aus den IP's der Providers die Attacken sich häufen.
> (Du benötigst dafür ALLE logdateien als Beweis)

Die Logdateien sind immer im Anhang. Die Mail dafür generiert ein
Script, wo auch nochmal erwähnt wird, welcher Serverstandort und welche
Zeitzone (nebst ausführlichen Timestamp), damit z.b. auch die Koreaner
dat peilen können, wat 12:00 Mittags ist:-)

>>* Ist es sinnvoll bzw. überhaupt möglich solche IPs zu
>>bannen/blocken(quasi als Sanktion)?
> 
> Ich bin noch am basteln aber nicht sehr weit gekommen.
> Man kann in der /etc/hosts.allow sowas wie
> 
> sshd: ALL: (/bin/echo "Zugriff von %c auf %s" |\
>             /usr/bin/mail -s "%d-Zugriff" linux4michelle@freenet.de)
> 
> da reinmachen oder andere scripts die dann dynamisch iptables setzen.
> und nach einer gewissen zeit wieder löschen.
> 
> Ich will es so machen:
> 
>     1)  3 maliger Fehlzugriff           IP wird eine Stunge gesperrt
>     2)  2 malige IP Sperrung am TAG     IP wird 24 Stunden gesperrt
>     3)  2 mal 24h Sperre pro Woche      Ich benachrichtige den ISP.

Dieser Ansatz gefällt mir!
Auch, das Du nicht sofort an den ISP meldest.

[..]
>>Es erinnert mich aber irgendwie an die früheren Zeiten kurz nach
>>Fidonet, wo man noch bei SPAM an die abuses gemailt hat oder sich
>>zusammen gerottet hat und Teergruben baute.
>          :-D  :-D  :-D  :-D  :-D  :-D  :-D  :-D  :-D  :-D 

:-) auch aus der alten Zeit übrig "geblieben"?

>>Genutzt hat es (wie man heute sieht) ja nicht wirklich etwas.
> Genau.

>>Dennoch...  mir gehen diese Attacken etwas sehr auf die Nerven.
> Lösung: Ganz lange passwörter verwenden und statt
>         in Syslog in eine eigenen Datei loggen

Danke. Es kommen hier ja grad recht schnell gute Maßnahmen zusammen.

>>Kunden werden nun "erzogen", [..]
> Was sagen die Kunden dazu ?

Je weniger technisches Verständnis vorhanden ist, desto größer die
Empörung. Nach 'nem Telefonat ist das allerdings schnell geklärt.

Ich verweise in den Fällen "Dann geh' ich eben zu 'nem anderen
Provider!" auf die AGBs der jeweiligen, worin verschiedene Passi stehen,
die auf die Verantwortlichkeit über verwendete Perl/PHP-Skripte
hingewiesen wird. Danach sind Kunden idR. wieder friedlich.

Das "Problem" PHP ist damit allerdings auch noch nicht gelöst :-/

Gruß
Andreas
Reply to: