Re: SSH-BruteForce-Attacken
On 2005-07-31 10:29:36 +0200, Andreas Appenheimer wrote:
> Hallo Welt,
>
> in letzter Zeit häufen sich wieder die SSH-BruteForce Attacken und ich
> bin darüber ziemlich abgenervt. Hauptgrund wahrscheinlich, weil einer
> meiner Root-Server mal über ein php-Forum von einem meiner Kunden
> gehackt wurde und der Angreifer es geschafft ein rootkit zu installieren.
>
> * Ist es sinnvoll bzw. überhaupt möglich solche IPs zu
> bannen/blocken(quasi als Sanktion)?
Ich habe auch schon nach Lösungen dafür gesucht. Gefunden habe ich
- http://www.pettingers.org/code/SSHBlack.html
ein Perl-Skript, das die Logs überwacht und die passenden
iptables-Regeln erstellt
- http://www.debian-administration.org/articles/187
http://blog.andrew.net.au/2005/02/17#ipt_recent_and_ssh_attacks
(es gibt noch mehr Seiten mit ähnlichen Regeln)
reine iptables-Regeln, die das Blocken bei zu vielen neuen
Verbindungen blocken und nach etwas Zeit wieder frei geben
Ich teste momentan auf mehreren Rechner die reine iptables Lösung.
Dabei sei zu erwähnen, dass laut
http://blog.blackdown.de/2005/05/09/fixing-the-ipt_recent-netfilter-module/
das recent-Modul einen Bug hat bei uptime > 25d. Was das ganze für
Server leider etwas untauglich macht, solange der Bug nicht gefixt ist.
Auf http://cert.uni-stuttgart.de/archive/suse/security/2005/02/msg00025.html
findet man Regeln, wie man auch mal etwas länger blocken kann, nachdem
die Regeln einmal zugeschlagen haben.
Wenn du es deinen Usern klarmachen kannst, kannst ja auch mal versuchen,
den SSH-Port wo anders hinzupacken. So laufen dann halt die Skripte der
ScriptKiddies ins Leere. Bei meinem eigenen Rechner habe ich das so
gemacht, aber dort bin ich der einzige User :)
Michael
Reply to: