[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: SSH-BruteForce-Attacken

Also sprach Andreas Appenheimer <a_c_a@gmx.de> (Sun, 31 Jul 2005
11:40:57 +0200):
> Richard Mittendorfer schrieb:
> 
> >>Frage(n):
> >>* Wie gefährlich sind diese Attacken wirklich?
> > [..] allerdings sind sie laesstig und deswegen
> > verwende ich mittlerweile einen knockdaemon oder binde ssh an einen
> > anderen port oder verwende x6g89t5f als user und 7^!A-Bd# als pass
> > ;)
> 
> anderer Port, auch 'ne gute Idee!
> 
> "knockdaemon"? Ein Teil der Debian-Sarge-Dist?

knockd wurde 'eh schon von Andreas genannt. den verwende ich und er tut
was er soll. was mich aber etwas nervt, ist das man ihm keinen
port-range an dem er listen soll zuweisen kann. somit frisst er bei
jeder netzwerkaktivitaet etwas cpu und eventuell auch etwas bandbreite.
 
[...]
> > dann hab ich aber auch einige besonders hartnaeckige attacken in den
> > logs, die sich ueber fast eine stunde hinziehen. ein kleines script
> > dass die ip ins abseits schickt kann hier nicht schaden.
> 
> Jep..  gar mehrere Stunden. Dabei zuzusehen macht mir gänsehaut,
> obwohl ich weiß, das zB. der User mysql sich gar nicht einloggen kann
> und root-login ebenfalls abgeschaltet ist...
> 
> "Abseits-skript" ..  machst Du das mit iptables?

jep. durchs auslesen der auth.log oder messages(wenn eine iptables -j
LOG auf dem sshd liegt) und dann damit eine rule in eine block chain
einfuegen. sollte eigentlich mit einem der
log-eintraege-erkennungs-programme besser gehen, ich verwend' einen
cronjob dafuer.

> 
> Gruß
> Andreas

sl ritch
Reply to: