Gå til innhold

Reaksjon ved ssh brute-force-angrep?

Entropi

Av Entropi
i Datamaskiner

Anbefalte innlegg

Entropi

Entropi

Skrevet
Skrevet

For en stund siden satte jeg opp en ssh-tjener på hjemmetjeneren min. Noen ganger i uken ser jeg i loggene at det blir forsøkt med brute-forcing av passord til ssh. Typiske brukere som blir forsøkt brute-forcet er; admin, root, mysql, test, en god del vanlige navn, webmaster, guest, osv.

 

Har satt opp sshd slik at det bare er en spesifikk bruker som kan logge inn og jeg har sterke passord, så det er ikke noen umiddelbar fare for innbrudd. Men det er jo litt irriterende med disse "skript-ungene" som forsøker å bryte seg inn.

 

Så hva bruker dere å gjøre ved slike angrep? Jeg tenkte å begynne og sende mail til eier av ip-blokken om at det jeg har blitt utsatt for angrep fra en av ip-adressene de disponerer. Er dette en fornuftig fremgangsmåte? Evt. hvorfor ikke? Bryr de seg i det hele tatt om slike varslinger? Er det andre måter dere heller bruker for å varsle slike angrep? Varsler dere i det hele tatt?

 

Jeg må si at et par forsøk på et brukernavn ikke er det som irriterer, for det kan like godt være noen som har tastet feil adresse når de skal logge inn på sin egen maskin, men det jeg tenker på er disse automatiserte angrepene hvor nye innlogginger blir forsøkt med noen sekunders mellomrom i et kvarters tid.

Videoannonse

Videoannonse
Annonse
Gadgetman

Gadgetman

Skrevet
Skrevet

Om det skjer ifra ei maskin tilknytta en ISP her i europa så hjelper det nok å sende mail, men husk å legge ved en skikkelig logg.

 

Om det er i USA, så bør du nok også sende meldinga til FBI samtidig, for ellers gir mange der borte bare faen.

 

Er det en ISP i Øst europa eller i Asia er det bare å glemme det...

 

Om det er adresseblokker som går igjen så bør du vurdere å rett og slett få blokkert disse i ruteren.

 

Ta også kontakt med din ISP. Det er godt mulig at det er flere enn deg som blir angrepet ifra samme pingle.

Stream

Stream

Skrevet
Skrevet

Jeg har aldri fått noe svar når jeg har sendt mail til isp'ene bak ip'en som prøver å skaffe seg tilgang - ei heller fra min egen isp (eller datasenteret hvor serverne er plassert).

 

Det jeg har gjort er å sette opp SSH på en annen port. Har ikke opplevd noen ureglementerte loginforsøk etter det.

Uluen

Uluen

Skrevet
Skrevet

Sett opp SSH til å kun tillate si 3 innlogginsforsøk, så må vedkommende vente X antall minutter til neste forsøk.

Vil tro de gir opp ganske fort da.

olear

olear

Skrevet
Skrevet (endret)
Sett opp SSH til å kun tillate si 3 innlogginsforsøk, så må vedkommende vente X antall minutter til neste forsøk.

Vil tro de gir opp ganske fort da.

Det er ikke en fysisk person som gjør dette ;)

 

Eneste måten å stanse det på er å nekte bruk av passord (bruke pubkeys), eller veldig strenge regler i hosts.allow/deny.

Endret av olear
Legion

Legion

Skrevet
Skrevet

det er fint lite man kan gjøre med dette bortsett fra å blokkere ip-adresser.

mail til abuse-postkassa til isp'er for slike angrep fører sjelden (les: så godt som aldri) til noe.

 

btw, det du refererer til er ikke brute forceangrep, men thesaurus-angrep, dvs bassert på en ordliste. brute force skjer ved å bruke alle permutasjoner av x antall tegn, typisk store og små bokstaver samt tall++

Entropi

Entropi

Skrevet
  • Forfatter
Skrevet

Da har jeg sendt min første abuse-melding. Det var en nederlandsk ISP, så får vi se om jeg hører noe mer. Det var i alle fall interessant å se hva dere andre mener.

 

Nu vet jeg ikke hvordan disse ssh angrepsscriptene fungerer, men jeg skal se på muligheten å blokkere connections fra en IP i noen minutter ved f.eks 3 gale logins fra samme IP. Kan dette gjøres direkte i sshd-configen, eller må man inn å mekke litt på script som modifiserer iptables osv.

 

btw, det du refererer til er ikke brute forceangrep, men thesaurus-angrep, dvs bassert på en ordliste. brute force skjer ved å bruke alle permutasjoner av x antall tegn, typisk store og små bokstaver samt tall++

 

Nu blir ikke passordene i seg selv logget, men sannsynligvis har du rett. På den andre siden kan man jo se på dictionary-angrep som et spesialtilfelle av brute-force, hvor søkerommet er sterkt avgrenset. Jeg velger i alle fall å se på brute-force som selve angrepsvektoren, mens f.eks. ordlistesøk og utmattende søk er to søkealgoritmer som benyttes til angrepsvektoren. Men nu er jeg ingen sikkerhetsekspert, så det kan godt hende at mine definisjoner er gale i forhold til de etablerte definisjonene innen sikkerhet.

Gjest Slettet-t8fn5F

Gjest Slettet-t8fn5F

Skrevet
Skrevet

Det er bare stor sett å gi f.. i å sende til abuse. Som regel bruker ikke hackere / cracker, eller hva du måtte kalle dem, sin egen ipaddresse, men kobler seg opp gjennom diverse åpne proxyer. Mye av de angrep jeg har hatt på en hjemmeside er fra Brasil. Enkleste jeg gjorde var å nekte alle fra Brasil tilgang til sidene.

Uluen

Uluen

Skrevet
Skrevet
Mye av de angrep jeg har hatt på en hjemmeside er fra Brasil.
Det har vært generelt mye drit fra Brasil en stund, tipper over 80% av all spam jeg får er derfra.
  • 11 måneder senere...
kennethx

kennethx

Skrevet
Skrevet (endret)
Jeg løste det ihvertfall med fail2ban og henvendelser på slike ting er bare å gi opp,men det er bare min erfaring :)

6728930[/snapback]

 

 

 

Ser ut som de gjør mye det samme. Deny Hosts har i tillegg mulighet for å synkronisere bannlyste ip'er med Deny Hosts sentrale server.

 

EDIT:

Synes det er greit å inkludere linker jeg :) :

http://fail2ban.sourceforge.net/

Endret av kennethx

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...