Re: SSH-BruteForce-Attacken
On Sun, 31 Jul 2005, Andreas Appenheimer wrote:
in letzter Zeit häufen sich wieder die SSH-BruteForce Attacken und ich
bin darüber ziemlich abgenervt.
naja, es ist nicht schön, aber es sollte auch den Blutdruck nicht
hochtreiben.
Hauptgrund wahrscheinlich, weil einer
meiner Root-Server mal über ein php-Forum von einem meiner Kunden
gehackt wurde und der Angreifer es geschafft ein rootkit zu installieren.
Das wiederum ist ein Ärgernis. Hat aber mit den SSH-Angriffen eigentlich
nicht viel zu tun.
Frage(n):
* Wie gefährlich sind diese Attacken wirklich?
Die Gefährlichkeit steht in direkter (entgegengesetzer) Relation zur
Komplexität deiner Kennwörter.
* Ist es sinnvoll an den jeweiligen abuse@ISP 'ne Meldung zu schicken?
naja, es ist zeitraubend. Kann aber schon etwas bringen. Ich wurde selbst
schon angeschrieben, weil Root-Server meiner Kunden unbemerkt ssh-attacken
gefahren haben. Dank der Mail konnte ich dann eingreifen. Ohne hätte ich
es wohl auch irgendwann gemerkt, aber wahrscheinlich nicht so schnell.
* Ist es sinnvoll bzw. überhaupt möglich solche IPs zu
bannen/blocken(quasi als Sanktion)?
Bei statischen IPs, die über einen längeren Zeitraum angreifen kann das
durchaus helfen. Je nach Szenario solltest du dir sowieso überlegen, ob
dein SSH-Port für jeden offen sein muss, oder ob es nicht reicht nur
bestimmte IPs / Netze durch die Firewall zu lassen. Als Zwischenlösung
käme dann noch Port-Knocking in Betracht.
Derzeit hab ich ein kleines Shell-Skript geschrieben, was
Teil a) mir die Auszüge der Logs bei Angriffen zusendet
Teil b) über gwhois dann den jeweiligen ISP ermittelt, nebst
herausgefilterten Emailadresse(n) und dann an diesen mit ner
entsprechenden Mitteilung den Log-Auszug sendet.
klar, warum nicht. Kannst du mir das Script mal zumailen? Würde mich auch
mal interessieren.
Es erinnert mich aber irgendwie an die früheren Zeiten kurz nach
Fidonet, wo man noch bei SPAM an die abuses gemailt hat oder sich
zusammen gerottet hat und Teergruben baute.
Genutzt hat es (wie man heute sieht) ja nicht wirklich etwas.
naja, automatisiert ist der Aufwand ja erträglich. Und es gibt bestimmt
noch verantwortungsbewusste Hostmaster, die auf solche Mails generieren.
Aber es wäre natürlich naiv anzunehmen, dass man damit das grundsätzliche
Problem aus der Welt schafft oder meßbar eindämmt.
Das System selbst wird eigentlich ganz gut abgesichert, dh. exploits
Systemseitig habe ich im Auge und Patches werden idR. spätestens mit 1
Tag delay eingepflegt. Immer aktueller Kern, alle verwendeten Passwörter
sind 12-Stellig, mit "pwgen" generiert und werden spätestens alle 14
Tage erneuert.
hört sich gut an. Dann solltest du beruhigt schlafen können und musst dir
um die Brute-Force-Attacken keine Sorgen machen.
Kunden werden nun "erzogen", wenn sie ein CMS verwenden auch die
jeweiligen Exploits im Auge zu behalten und ohne "echter" Administration
werden solche Systeme auf dem Kundenserver nicht mehr geduldet.
Naja, das gehört dann in die Kategorie "organisatorische Probleme". Dafür
gibts leider Patentlösungen. Wir kämpfen mit den selben Problemen. Das
finde ich sehr viel nervraubender als irendwelche SSH-Attacken.
Ferner wöchentliche "Nerv-Mails" wenn eins meiner SuchMuster-Skripte
solche Sachen wie "phpBB" findet, dann entsprechende Mails an den Kunden
geschickt werden: "Du hast phpBB installiert. Vergiss die Patches nicht!"
phpBB auf Shared-Servern ist immer etwas problematisch. Wenn du das
Sicherheitslevel wirklich effektiv erhöhen willst, dann verkauf deinen
Kunden nur noch komplette Vserver-Instanzen. Das ist meiner Erfahrung nach
die effektivste und unproblematischte Chroot-Umgebung, die es momentan
gibt. Wir setzen dafür UML-Linux ein.
Gruß,
Jörn Bredereck
B & W Networx GmbH & Co. KG
Reply to: