kennethx Skrevet 23. august 2006 Skrevet 23. august 2006 Hei. Har satt opp Deny Hosts på serveren min, og jeg får daglig melding om angrep mot serveren, og IP addresser som er blitt banned. Det finnes statistikk på hjemmesiden til Deny Hosts: http://stats.denyhosts.net/stats.html Her ser vi at Usa, Kina og Korea, står for top 3. Deny Hosts monitorerer aktivitet på ssh login, og etter fem (default) misslykkede login forsøk fra en IP addresse så blir den bannlyst, og får ikke svar fra serveren noe mer. Det er veldig konfigurerbart, med tanke på terskelnivåer for det meste. Deny Hosts har også en sentral server du kan velge å sende/motta bannlyste IP addresser fra. Anbefales!
kennethx Skrevet 23. august 2006 Forfatter Skrevet 23. august 2006 Så og si ingenting Og jeg har en P3 500Mhz 256MB ram
Equerm Skrevet 24. august 2006 Skrevet 24. august 2006 Fancypants, er det en webserver du har? Slik at spamboter og lignende prøver å gjøre ting på siden din?
kennethx Skrevet 24. august 2006 Forfatter Skrevet 24. august 2006 Joda, serveren hoster et domene. Web server, forum, torrent tracker, ssh osv osv. Deny Hosts detekterer brute force angrep mot ssh login. Det er skript kids som kjører brukernavn/passord lister og angiper ssh login med brute force. Er gjerne opp i 5 angrep pr dag (5 forskjellige IP'er) og jeg har et forholdsvis lite profilert domene. Men det er andre former for angrep også, ser man i apache access log, så ser man forsøk på bufferoverflow angrep osv osv... Før jeg installerte Deny Hosts kunne auth.log bli flere megabyte på en dag! dette er da flere megabyte med ssh failed login. Ett lite eksempel: (host navn og hacker ip sladda ) Aug 16 11:15:10 -------- sshd[2965]: error: Could not get shadow information for NOUSER Aug 16 11:15:11 -------- sshd[2965]: Failed password for illegal user library from 84.205.40.x port 52237 ssh2 Aug 16 11:15:11 -------- sshd[2967]: Illegal user test from 84.205.40.x Aug 16 11:15:11 -------- sshd[2967]: error: Could not get shadow information for NOUSER Aug 16 11:15:11 -------- sshd[2967]: Failed password for illegal user test from 84.205.40.x port 52299 ssh2 Aug 16 11:15:12 -------- sshd[2970]: Failed password for root from 84.205.40.x port 52352 ssh2 Aug 16 11:15:12 -------- sshd[2973]: Failed password for root from 84.205.40.x port 52409 ssh2 Aug 16 11:15:13 -------- sshd[2975]: Illegal user admin from 84.205.40.x Aug 16 11:15:13 -------- sshd[2975]: error: Could not get shadow information for NOUSER Aug 16 11:15:13 -------- sshd[2975]: Failed password for illegal user admin from 84.205.40.x port 52460 ssh2 Aug 16 11:15:13 -------- sshd[2978]: Illegal user guest from 84.205.40.x Aug 16 11:15:14 kennyboy sshd[2978]: error: Could not get shadow information for NOUSER Aug 16 11:15:14 -------- sshd[2978]: Failed password for illegal user guest from 84.205.40.x port 52504 ssh2 Aug 16 11:15:14 -------- sshd[2981]: Illegal user master from 84.205.40.x Aug 16 11:15:15 -------- sshd[2981]: error: Could not get shadow information for NOUSER Aug 16 11:15:15 -------- sshd[2981]: Failed password for illegal user master from 84.205.40.x port 52545 ssh2 Aug 16 11:15:15 -------- sshd[2985]: refused connect from 84.205.40.x (84.205.40.x) På siste linje i loggen har Deny Hosts kicket inn, og 84.205.40.x blir rapportert til Deny Hosts sentrale server
Equerm Skrevet 24. august 2006 Skrevet 24. august 2006 Jeg synst du skal kontakte ISPen deres å si ifra Lag et PHP script som sender en mail til deres ISP for hver gang, sikkert et slit uten like å finne frem alle ISP adresser men tenk så gøy det hadde vert
kennethx Skrevet 24. august 2006 Forfatter Skrevet 24. august 2006 Det er over 3000 bannlyste IP'er på serveren min nå. Jeg har ikke tid til å lete frem isp og drive mail og oppfølging av slike ting. Men det at hackerene nå legges inn i en sentral database administrert av deny hosts, slik at hacker ip'ene synkroniseres, det er jo positivt
Equerm Skrevet 25. august 2006 Skrevet 25. august 2006 Det er over 3000 bannlyste IP'er på serveren min nå. Jeg har ikke tid til å lete frem isp og drive mail og oppfølging av slike ting. Men det at hackerene nå legges inn i en sentral database administrert av deny hosts, slik at hacker ip'ene synkroniseres, det er jo positivt 6733722[/snapback] Meget positivt er det ja, 3000 IP adresser er veldig veldig mye hva er det for noe du bruker denne serveren til?
kennethx Skrevet 25. august 2006 Forfatter Skrevet 25. august 2006 Nå er bare ca 100 av de bannet direkte av meg, de fleste IP'ene motar jeg fra Deny Hosts server når den synkroniserer og utveksler IP'er begge veier. Det som får mest trafikk er nok siden der jeg hoster en winamp plugin jeg har laget. http://aonow.kennyboy.org Ellers er det stort sett venner og kjente som er innom noen andre subdomener, privat forum og litt mer.
xqus Skrevet 26. august 2006 Skrevet 26. august 2006 Jeg løste dette problemet med å deaktivere passordbasert autentisering. Virker veldig bra når det er bare jeg som skal ha SSH tilgang til serveren.
kennethx Skrevet 27. august 2006 Forfatter Skrevet 27. august 2006 I.o.m at jeg bruker ssh login til serveren når jeg ikke har lokal tilgang, og jeg har andre brukere som bruker ssh tilgang til serveren, så er jeg litt avhengig av at det er mulig å logge inn med gyldig bruker/passord fra Internet Oppe i 4294 bannlyste IP'er nå
kennethx Skrevet 27. august 2006 Forfatter Skrevet 27. august 2006 vel, da tar hackeren en kjapp nmap, så er problemet tilbake Det absolutt ikke en løsning, deny hosts er imidlertid en løsning
Lindsay Skrevet 28. august 2006 Skrevet 28. august 2006 (endret) Har innstalert Deny Host så får vi se uansett så slår fail2ban inn og banner de Endret 28. august 2006 av nre1458
Gjest Slettet-df17e Skrevet 28. august 2006 Skrevet 28. august 2006 Personlig bruker jeg knocd for og beskytte min kjære sshd - funker utmerket
olear Skrevet 29. august 2006 Skrevet 29. august 2006 vel, da tar hackeren en kjapp nmap, så er problemet tilbake Det absolutt ikke en løsning, deny hosts er imidlertid en løsning Vel, dette er automatiske script som alltid går etter port 22. Jeg har aldri fått et angrept siden jeg skiftet port.
Hagforce Skrevet 3. september 2006 Skrevet 3. september 2006 Jeg byttet også port til en 4sifret, har ikke hatt noen forsøk siden.
Zerge Skrevet 7. september 2006 Skrevet 7. september 2006 Mine ssh servere ligger bak TLS/Blowfish krypterte tuneller:) <3 OpenVPN <3
xqus Skrevet 8. september 2006 Skrevet 8. september 2006 I.o.m at jeg bruker ssh login til serveren når jeg ikke har lokal tilgang, og jeg har andre brukere som bruker ssh tilgang til serveren, så er jeg litt avhengig av at det er mulig å logge inn med gyldig bruker/passord fra Internet Oppe i 4294 bannlyste IP'er nå 6749900[/snapback] Brukere kan fremdeles logge inn fra hvorsomhelst... så lenge de har sin private nøkkel med seg...
sdf123 Skrevet 9. september 2006 Skrevet 9. september 2006 Nå er bare ca 100 av de bannet direkte av meg, de fleste IP'ene motar jeg fra Deny Hosts server når den synkroniserer og utveksler IP'er begge veier. Det som får mest trafikk er nok siden der jeg hoster en winamp plugin jeg har laget. http://aonow.kennyboy.org Ellers er det stort sett venner og kjente som er innom noen andre subdomener, privat forum og litt mer. 6739307[/snapback] Så kjekt ut denyhost. Står den sida på en p3, 50mhz, 256ram? Virke veldig kjapp. Hva slags linje står den på?
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå