massive brute force-Angriffe auf ssh

Dieses Thema im Forum "Technik-Smalltalk" wurde erstellt von gill, 2. September 2008.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. gill

    gill Erfahrener Benutzer

    Registriert seit:
    16. Juni 2000
    Beiträge:
    5.602
    Ort:
    Mainz
    Hallo,

    beobachtet heute ausser mir noch jemand massive brute force-Angriffe auf ssh? Seit ca. 11.15 erfolgen die Angriffe von zahllosen IPs. fail2ban entsorgt zwar nach x Versuchen für eine bestimmte Dauer aber in einem solchen Ausmaß habe ich das schon lange nicht mehr erlebt.

    Schönen Abend noch!
     
  2. phor

    phor Erfahrener Benutzer

    Registriert seit:
    10. Mai 2006
    Beiträge:
    1.382
    AW: massive brute force-Angriffe auf ssh

    Kann nix außergewöhnliches feststellen. Wieviel IPs sind denn schon gebannt? :)
     
  3. anschluss80

    anschluss80 Guest

    AW: massive brute force-Angriffe auf ssh

    Ja, hier ebenfalls. Denyhosts war heute schon recht fleißig. Hinweise auf eine mögliche Ursache habe ich keine gefunden, vielleicht ist irgendwo eine neu Sicherheitslücke aufgetaucht, die versucht wird, auszunutzen. Die Quellen scheinen auch gut verteilt zu sein, wobei zumindest gefühlt brasilianische Hosts "vorn" liegen.
     
  4. gill

    gill Erfahrener Benutzer

    Registriert seit:
    16. Juni 2000
    Beiträge:
    5.602
    Ort:
    Mainz
    AW: massive brute force-Angriffe auf ssh

    Das habe ich auch festgestellt.
     
  5. MW_Internet

    MW_Internet Eingetragener Provider

    Registriert seit:
    22. August 2007
    Beiträge:
    2.507
    Firmenname:
    MW-Internet
    Anbieterprofil:
    Klick
    AW: massive brute force-Angriffe auf ssh

    Naja, Zugriff per IPTABLES auf nur die eigenen Ranges begrenzen und der Rest prallt schon dort ab.
     
  6. Henry.Hill

    Henry.Hill Guest

    AW: massive brute force-Angriffe auf ssh

    Ja...hab ich auch gemacht. Funktioniert jetzt gut. Abgesehen davon dass ich mich das letzte mal versehentlich selbst ausgelockt habe.
     
  7. 1st-Rootserver.de

    1st-Rootserver.de Eingetragener Provider

    Registriert seit:
    15. September 2004
    Beiträge:
    3.444
    Geschlecht:
    männlich
    Ort:
    Berlin
    Firmenname:
    1st-Rootserver
    Anbieterprofil:
    Klick
    AW: massive brute force-Angriffe auf ssh

    Kann ich ebenfalls bestätigen. Über alle Server schlagen die Meldungen ein. Ferien sind doch aber momentan nicht, oder?
     
  8. szapi

    szapi Eingetragener Provider

    Registriert seit:
    11. August 2004
    Beiträge:
    311
    Ort:
    Hamm
    Firmenname:
    hostix.de
    Anbieterprofil:
    Klick
    AW: massive brute force-Angriffe auf ssh

    Hm, hier auch, seh ich gerade. fail2ban hat alles weggebügelt, so dass es gar nicht aufgefallen ist.
     
  9. Miles

    Miles Erfahrener Benutzer

    Registriert seit:
    10. Mai 2002
    Beiträge:
    5.351
    Ort:
    49424 Lutten
    AW: massive brute force-Angriffe auf ssh

    Mein privater Server wurde auch ordentlich angegriffen... fail2ban hats ausgebügelt, allerdings hat der / haben die meinen MySQL-Server dadurch zum Absturz gebracht :( Bzw. nscd und der hatte irgendwann mal ne ordentliche Anzahl MySQL-Connections auf womit MySQL dann dicht war...
     
  10. Fritz11

    Fritz11 Guest

    AW: massive brute force-Angriffe auf ssh

    Es scheint einige Netze und IP-Ranges zu geben, die solche Angriffe regelrecht anlocken. Vielleicht hat es in der Nachbarschaft erfolgreiche Versuche oder vielversprechende Ziele gegeben?! Ich sehe bei den diversen Providern dramatische Unterschiede.
    ...aber vielleicht kommt der Rest ja auch noch dran?! Die armen Scanner wollen ja auch mal Kaffee- ääähm Kakaopause machen, oder auf'm Schulhof eine rauchen gehen...
     
  11. anschluss80

    anschluss80 Guest

    AW: massive brute force-Angriffe auf ssh

    Nachtrag: witzigerweise war heute seit etwa Mitternacht "Pause", seit heute morgen 07:00 .. 08:00 Uhr geht es munter weiter. Vermutlich sind tatsächlich grad irgendwo Ferien.. ;)
     
  12. BluDragn

    BluDragn Gesperrt

    Registriert seit:
    25. September 2007
    Beiträge:
    161
    AW: massive brute force-Angriffe auf ssh

    Moin,

    ich lasse den SSH Daemon auf allen Server auf einem anderen Port laufen und seitdem gab es bisher auch keinen einzigen Angriff mehr.
     
  13. mbanse

    mbanse Eingetragener Provider

    Registriert seit:
    6. Dezember 2005
    Beiträge:
    2.010
    Ort:
    Hennigsdorf
    Firmenname:
    AB-Webspace
    Anbieterprofil:
    Klick
    AW: massive brute force-Angriffe auf ssh

    Hi,

    dies tun wir ebenfalls, auch seitdem ist ruhe mit solchen "Angriffen".
    Man sollte jedoch bedenken, jeder der sich etwas mehr mit Linux & Co auskennt, wird dennoch in wenigen Minuten den SSH Port herausfinden können.

    Daher sollte trotzdem auf wichtige Sicherheitseinstellungen geachtet werden, wie zb:
    - Rootlogin verbieten
    - evtl. SSH Keys benutzen zum Login und per su / sudo arbeiten
    - uswusf. ;)



    greetz
     
    Zuletzt bearbeitet: 3. September 2008
  14. schwarzlicht

    schwarzlicht New Member

    Registriert seit:
    7. Mai 2007
    Beiträge:
    287
    Ort:
    Wildeshausen
    AW: massive brute force-Angriffe auf ssh

    Kann hier nur Fail2Ban wie einige Vorposter empfehlen, wenn einem die vielen Logeinträge stören.
    Hier sind dann wohl Zombies auf der Suche nach neuen Kollegen, oder?
     
  15. Serpiente

    Serpiente Erfahrener Benutzer

    Registriert seit:
    11. April 2006
    Beiträge:
    654
    AW: massive brute force-Angriffe auf ssh

    selbst wenn ferien wären, glaube ich kaum, dass der agressor in diesem bereich zu suchen wäre. ferienhoster sind eine sache, aber was soll würden die mit nem geknackten rootserver anfangen wollen? sofern diese altersgruppe überhaupt soweit kommt - n paar klickibuntu tools sollte es vllt fürs bruteforcing geben aber bei der menge der ips steckt da sicherlich was größeres hinter.
     
  16. Henry.Hill

    Henry.Hill Guest

    AW: massive brute force-Angriffe auf ssh

    Richtig ! Meistens stecken hinter diesen Aktionen Kriminelle die die Server entweder zum Versand vom Spam oder zum Vorschussbetrug nutzen wollen.
     
  17. Goldmember

    Goldmember Erfahrener Benutzer

    Registriert seit:
    23. Dezember 2003
    Beiträge:
    1.131
    AW: massive brute force-Angriffe auf ssh

    Aus welcher Richtung kommen denn die Angriffe? Osteuropa? China? ;)
     
  18. 1st-Rootserver.de

    1st-Rootserver.de Eingetragener Provider

    Registriert seit:
    15. September 2004
    Beiträge:
    3.444
    Geschlecht:
    männlich
    Ort:
    Berlin
    Firmenname:
    1st-Rootserver
    Anbieterprofil:
    Klick
    AW: massive brute force-Angriffe auf ssh

    Bei mir Ostblock und vereinzelt aus Europa.
     
  19. gill

    gill Erfahrener Benutzer

    Registriert seit:
    16. Juni 2000
    Beiträge:
    5.602
    Ort:
    Mainz
    AW: massive brute force-Angriffe auf ssh

    Alles dabei, u.a. China, Brasilien, Uruguay, Mexico, USA, Schweiz, Deutschland, ...
     
  20. x-t-c

    x-t-c Guest

    AW: massive brute force-Angriffe auf ssh

    Als Anregung vielleicht folgendes:

    1. OpenVPN installieren. Hierfür gibt es auch zuverlässige Clients für Windows und MAC.
    2. SSH nurnoch auf der VPN IP lauschen lassen, alternativ IPTables-Regeln dazu bauen.
    3. Das Ganze kann man für andere Dienste/Ports dann genauso machen, ganz nach Bedarf.

    Es gibt ausreichend Doku zu OpenVPN. "Ruhe" ist hinterher praktisch garantiert :)
    Einen Einstieg in das Thema findet man z.B. hier:

    http://freifunk.net/wiki/OpenVPNHowto
     
    Zuletzt von einem Moderator bearbeitet: 4. September 2008
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen