Dauerhafte Brute Force Attacken auf FTP /SSH Server - was tun?

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Moin,

    ich habe für Freunde eine kleine Tauschbörse online die per ftp angesprochen wird. Jeder hat einen Account und Passwort.

    heute mal spasseshalber in die auth.log reingeschaut und die Krise gekriegt :@


    SSH Einbrüche:

    In der Zeit von 2 Uhr morgens bis um 6 keine freie Minute ohne Login Versuche !! 2.5 MB hat das File nur für einen Tag.
    Da hagelt ein Daurfeuer an Einbruchsattacken auf meinen kleinen Server nieder, mehrmals am tag aber dann auch stundelang !

    Über ftp, ssh, http ... sie versuchen es! Und nicht selten .cn (China) als Adresse

    Was kann ich tun, damit die gar nicht merken, dass da ein Rechner dran ist?

    Einmal editiert, zuletzt von Superhobel (1. Januar 2014 um 22:05)

  • Dauerhafte Brute Force Attacken auf FTP /SSH Server - was tun?? Schau mal ob du hier fündig wirst!

  • Also als erstes würde ich hinterfragen wieso du überhaupt eine Portweiterleitung für SSH / FTP aktiviert hast und desweiteren wieso dieser ausgerechnet auf dem Standardport läuft? :-/

    Und als nächstes wie du von ssh auf ftp schliest? :-/
    In den Logs steht eindeutig sshd

    Also:
    Sicherheitsgrundlage -> Wieso / Weshalb / Warum ist eine Portweiterleitung aktiv? -> Ist das wirklich nötig und unverzichtbar?

    Schutz -> IP sperren (mit iptables) oder Port der Portweiterleitung ändern (im LAN kann er so bleiben aber Extern ändern -> solltest du auf jedenfall tun)


    Bjoern: Doch, man kann einiges tun!

  • Mit dem nichts tun meinte ich den bösartigen Traffic.

    Jein:
    - bei Dynamischer IP den Router anweisen sich neu einzuwählen... Falls der Angreifer daraufhin erneut eine Attacke durchführt wurde die DynDNS in irgendeiner Form öffentlich gemacht und muss geändert werden
    - Port ändern, aber dann wird der Traffic weiterhin anfallen nur das der Router den Verbindungsaufbau ablehnt
    - fail2ban installieren
    - Wenn es sich um einen Internetserver handelt kann man das auch dem Anbieter melden

  • Hallo,

    also .... ich möchte mich schon von entfernt einloggen können. Daher auch die Weiterleitung. Ich habe
    nur das Log teilweise wiedergegeben, es finden auch Versuche bei ftp statt.

    Ich werde mal den ssh Por auf eine Zahl weit oben setzen, die ich mir dann merken muss. Sonst arbeitet
    die Kiste sich ja tot an den Anfragen. Scheinen Listen mit Usern und Passwörtern zu sein, wie man sieht.


  • Noch mir noch einfällt, wenn ssh über das internet erreichbar sein soll, auf jeden nur anmeldungen über key-files zulassen.

    Mit dem nichts tun meinte ich den bösartigen Traffic.

    Hmm.... also ich habe keys generieren lassen und in der knownhosts sind die hinterlegt. Wechsel ich den Rechner,
    muss ich die schon mal löschen, damit ich eine neue Abfrage bekommen und die adden kann. Sonst wird die
    Verbindung abgelehnt. meinst Du das damit?

  • VPN ist kein allheilmittel und Schutz vor Angriffen sofern es Portweiterleitungen gibt


    Superhobel: Du musst auch einstellen das nur noch Verbindungen mit Keyfile erlaubt sind - das blose erstellen und einbinden eines Keyfiles reicht also nicht

    Aber wie gesagt - auf jedenfall sollten keine Standard Ports genutzt werden!! Jede Weiterleitung die du unbedingt nutzen willst sollte nicht auf dessen Standardport laufen: 21 ist der Standard Port von FTP, 22 von SSH usw usw usw

    Es gibt viele automatisierte Programme die vollständige Netzwerksegmente nach potenziellen Targets absuchen und die scannen die Standardports ab. Antwortet das Ziel wird meistens eine Bruteforce-attacke gestartet...


    Und um möglicher zukünftiger Diskusionen vorzubeugen: Nein, die automatischen Scripte suchen nicht derart tief als dass sie auf "unbekannten" ports auch prüfen welcher Dienst dahinter steckt
    Mehr werd ich dazu nicht schreiben weil ich solche Diskusionen leid bin...

  • Hallo,

    ich habe vor Jahren mal "gehackt", also Portscanner laufen lassen und versucht mit "SubSeven" infizierte rechner
    zu finden. Es gab hunderte, in viele kam man sehr einfach rein .... normale PC von Leuten wie Du und ich. Man
    konnte die CD Schubladen aufmachen, Bildschirm anzeigen lassen, Chat erzeugen usw. Aber nix Böses gemacht, nur
    mal geschaut. Einer hat mich sogar angerufen als ich ihm über die Chatbox schrieb dass sein Rechner infiziert ist und
    sich bedankt.

    Kurze Zeit später kam ein Schreiben von Arcor: Nochmal einen Portscan und wir machen Ihren Anschluss dicht!

    Finde ich ok so ..... :thumbs1:

    Einmal editiert, zuletzt von Superhobel (1. Januar 2014 um 22:28)

  • SubSeven ist was anderes - das is hiermit kaum vergleichbar..

    Wundert mich nun aber wieso du dann nicht selber drauf kommst was man gegen sowas tun kann oder worauf man zu achten hat das einem sowas nicht selber passiert :(

  • Wie denn also nun? Ich möchte dass der Router alles abfängt, der hat ja eh genug zu tun mit sowas. Nicht aber der Pi!
    Wenn ich ssh brauche und das ist der Fall, zb auf Dienstreise mit meinem UMTS Laptop, dann kommt es öfter vor, dass
    ich mich daheim einloggen muss, um mal eben was zu holen und sei es nur neue Musik für den ipod.

    Also entweder VPN Tunnel legen, Laptop fest anbinden mit seiner MAC Adresse oder die Portweiterleitung auf eine
    hohe Nummer, die nicht einem Standarddienst zugeordnet ist? Den Usern für ftp habe ich ohnehin die Shell auf /bin/false
    gelegt, damit keiner auf dumme Gedanken kommt statt ftp ssh einzugeben, Rein kommen sie aber sind sofort wieder
    raus.

    Einmal editiert, zuletzt von Superhobel (1. Januar 2014 um 22:35)

  • MAC-Adresse ist fälschbar, Portscans zeigen auch nicht standart-ports (auch wenn sie dann etwas länger brauchen), VPN wäre wohl der beste Weg, der MAC-Filter würde aber vermutlich schon viel Müll rausfiltern, also zusätzlich gut. Einen Nicht-standartport nutzen ist immer gut. also... alles drei?

  • Ich empfehle auch ein Paket, dass nach Fehlversuchen ip Adressen sperrt. Port verlegen hilft nur bedingt. Wenn der router ausreichend Optionen hat, kannst Du geographisch ip Adressen zulassen oder sperren


  • ... hat, kannst Du geographisch ip Adressen zulassen oder sperren

    Das geht z. B. auch mit der "/etc/hosts.allow" auf dem Pi:

    Zitat


    vsftpd,sshd : 192.168.1 .dip0.t-ipconnect.de .kabelbw.de .kabel-badenwuerttemberg.de : allow
    vsftpd,sshd : ALL : deny

    EDIT:

    BTW: Für die Benutzung der "/etc/hosts.allow" müssen die Dienste lediglich gegen die libwrap gelinkt werden. Z. B.:

    Code
    ~ $ ldd $(which vsftpd) | grep -i libwrap
            libwrap.so.0 => /lib/arm-linux-gnueabihf/libwrap.so.0 (0xb6d9a000)
    
    
     ~ $ ldd $(which sshd) | grep -i libwrap
     libwrap.so.0 => /lib/arm-linux-gnueabihf/libwrap.so.0 (0xb6f32000)
    
    
     ~ $ ldd $(which ngircd) | grep -i libwrap
     libwrap.so.0 => /lib/arm-linux-gnueabihf/libwrap.so.0 (0xb6ef5000)


    Zusätzliche Pakete müssen nicht installiert werden:

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (2. Januar 2014 um 11:45)

  • Nur mal Just for Fun:

    Wie könnte man denn einen "Honigtopf" konfigurieren? Ich spiele mit dem Gedanken den
    Raspi mal von Festplatten und anderen Rechnern abzuklemmen und ihn offen zu lassen.

    Weches Konto und welches Passwort sind denn für die einfach zu knacken bei ssh?

    Mich würde mal interessieren wie der Rp nach so einer Woche innendrin ausschaut,
    was da so alles "nachinstalliert" wurde.

    Einmal editiert, zuletzt von Superhobel (2. Januar 2014 um 00:18)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!