Re: Attacken auf ssh-Server

To: debian-user-german@lists.debian.org
Subject: Re: Attacken auf ssh-Server
From: Jochen van Geldern <dd8pz@imail.de>
Date: Fri, 21 Jun 2019 10:14:53 +0200
Message-id: <[🔎] 20190621101453.3d25c8a2@work>
In-reply-to: <[🔎] 20190621094245.3615fe61@einstein.curt.lan>
References: <[🔎] 20190621094245.3615fe61@einstein.curt.lan>

Am Fri, 21 Jun 2019 09:42:45 +0200
schrieb Uwe Herrmuth <u.herrmuth@gmx.de>:

> Hallo Miteinander,
> 
> ich betreibe seit ca. 12 Jahren einen 24/7-Server auf Debian-Basis
> (aktuell stretch) hinter einer Fritzbox mit DynDNS. U.a. läuft da auch
> ein sshd.
> Anfangs lief der noch auf dem Standard-Port 22. Man lernt ja dazu und
> seit ich den sshd ein halbes Jahr später auf einem anderen Port
> lauschen lasse, hatte ich Ruhe vor den massiven Einbruchsversuchen
> über root- oder admin-Accounts von irgendwelchen Script-Kiddies.
> Abgesehen davon ist der direkte Root-Zugang eh geblockt.
> Eine Portweiterleitung ist in der Fritzbox eingerichtet.
> 
> Seit 2 Tagen beobachte ich aber erneut Einbruchsversuche.
> sshd meldet 2-3 mal pro Stunde

Warscheinlich hat der Angreifer ein Port-Scan gemacht und denn sshd
dadurch gefunden.

Dagegen kann man wohl nichts machen.
Gegenmaßnahmen damit er nicht irgendwann herein kommt:
1. fail2ban als bruceforce-Schutz Installieren.
Damit wird bei einer Gewissen Fehlversuchsanzahl automatisch die
IP-Adresse durch ein iptable-Eintrag ausgesperrt.
2. Benutzer-Accounts durch Konfiguration von sshd besser sichern:
- Unbenutzte Accounts sperren.
- Nur Key-Authentation verwenden.
> 
> Username, Remote IP und Port wechseln bei jedem Versuch.
> 
> Die eingetragenen User auf dem Server halten sich in engen Grenzen,
> die Passwörter sind auch keine Allerwelts-Passwörter, die man in
> irgendwelchen Wörterbüchern finden würde. Von daher mach ich mir
> weniger Sorgen, dass mal irgendwann ein Versuch klappen würde.
> 
> Auf die Dauer nerven aber die ständigen Mails über unberechtigte
> Zugriffsversuche doch. Deshalb würde ich gern diese Attacken irgendwie
> unterbinden. Außerdem frag ich mich, wie man überhaupt über einen
> falschen Port über die Fritzbox bis an den Login gelangen kann? Müsste
> nicht der sshd oder wer auch immer dem Angreifer auf Grund des
> falschen Ports so was melden wie Service nicht erreichbar?
> 
Gegen das nerven hilft die Änderung der Intervall auf Prüfung auf
Einbruchsversuche durch sshgaurd (In Crontab).

-- 
Gruß Jochen

Reply to:

References:
- Attacken auf ssh-Server
  - From: Uwe Herrmuth <u.herrmuth@gmx.de>

Prev by Date: Re: Attacken auf ssh-Server
Next by Date: Re: Attacken auf ssh-Server
Previous by thread: Re: Attacken auf ssh-Server
Next by thread: Re: Attacken auf ssh-Server
Index(es):
- Date
- Thread