Re: SSH-BruteForce-Attacken
Also sprach Andreas Appenheimer <a_c_a@gmx.de> (Sun, 31 Jul 2005
11:40:57 +0200):
> Richard Mittendorfer schrieb:
>
> >>Frage(n):
> >>* Wie gefährlich sind diese Attacken wirklich?
> > [..] allerdings sind sie laesstig und deswegen
> > verwende ich mittlerweile einen knockdaemon oder binde ssh an einen
> > anderen port oder verwende x6g89t5f als user und 7^!A-Bd# als pass
> > ;)
>
> anderer Port, auch 'ne gute Idee!
>
> "knockdaemon"? Ein Teil der Debian-Sarge-Dist?
knockd wurde 'eh schon von Andreas genannt. den verwende ich und er tut
was er soll. was mich aber etwas nervt, ist das man ihm keinen
port-range an dem er listen soll zuweisen kann. somit frisst er bei
jeder netzwerkaktivitaet etwas cpu und eventuell auch etwas bandbreite.
[...]
> > dann hab ich aber auch einige besonders hartnaeckige attacken in den
> > logs, die sich ueber fast eine stunde hinziehen. ein kleines script
> > dass die ip ins abseits schickt kann hier nicht schaden.
>
> Jep.. gar mehrere Stunden. Dabei zuzusehen macht mir gänsehaut,
> obwohl ich weiß, das zB. der User mysql sich gar nicht einloggen kann
> und root-login ebenfalls abgeschaltet ist...
>
> "Abseits-skript" .. machst Du das mit iptables?
jep. durchs auslesen der auth.log oder messages(wenn eine iptables -j
LOG auf dem sshd liegt) und dann damit eine rule in eine block chain
einfuegen. sollte eigentlich mit einem der
log-eintraege-erkennungs-programme besser gehen, ich verwend' einen
cronjob dafuer.
>
> Gruß
> Andreas
sl ritch
Reply to: