SSH-BruteForce-Attacken
Hallo Welt,
in letzter Zeit häufen sich wieder die SSH-BruteForce Attacken und ich
bin darüber ziemlich abgenervt. Hauptgrund wahrscheinlich, weil einer
meiner Root-Server mal über ein php-Forum von einem meiner Kunden
gehackt wurde und der Angreifer es geschafft ein rootkit zu installieren.
Frage(n):
* Wie gefährlich sind diese Attacken wirklich?
* Ist es sinnvoll an den jeweiligen abuse@ISP 'ne Meldung zu schicken?
* Ist es sinnvoll bzw. überhaupt möglich solche IPs zu
bannen/blocken(quasi als Sanktion)?
Derzeit hab ich ein kleines Shell-Skript geschrieben, was
Teil a) mir die Auszüge der Logs bei Angriffen zusendet
Teil b) über gwhois dann den jeweiligen ISP ermittelt, nebst
herausgefilterten Emailadresse(n) und dann an diesen mit ner
entsprechenden Mitteilung den Log-Auszug sendet.
Es erinnert mich aber irgendwie an die früheren Zeiten kurz nach
Fidonet, wo man noch bei SPAM an die abuses gemailt hat oder sich
zusammen gerottet hat und Teergruben baute.
Genutzt hat es (wie man heute sieht) ja nicht wirklich etwas.
Dennoch... mir gehen diese Attacken etwas sehr auf die Nerven.
Das System selbst wird eigentlich ganz gut abgesichert, dh. exploits
Systemseitig habe ich im Auge und Patches werden idR. spätestens mit 1
Tag delay eingepflegt. Immer aktueller Kern, alle verwendeten Passwörter
sind 12-Stellig, mit "pwgen" generiert und werden spätestens alle 14
Tage erneuert.
Kunden werden nun "erzogen", wenn sie ein CMS verwenden auch die
jeweiligen Exploits im Auge zu behalten und ohne "echter" Administration
werden solche Systeme auf dem Kundenserver nicht mehr geduldet.
Ferner wöchentliche "Nerv-Mails" wenn eins meiner SuchMuster-Skripte
solche Sachen wie "phpBB" findet, dann entsprechende Mails an den Kunden
geschickt werden: "Du hast phpBB installiert. Vergiss die Patches nicht!"
Gruß
Andreas
--
Andreas-Christian Appenheimer
Kösters Busch 47 | 45141 Essen | Fon: 0201-211 4 99
| Mail: a_c_a@gmx.de
LinuxUser #274748 at http://counter.li.org/
Reply to: