Frage:
Ungültige Benutzer, die versuchen, sich bei meinem Server anzumelden
mk_89
2012-10-03 18:28:50 UTC
view on stackexchange narkive permalink

Ich sehe viele Protokolleinträge, bei denen es sich anscheinend um fehlgeschlagene Anmeldeversuche von unbekannten IP-Adressen handelt.

Ich verwende private und öffentliche Schlüssel, um mich mit SSH anzumelden, aber ich habe festgestellt, dass ich mich auch mit festgelegten privaten und öffentlichen Schlüsseln mit filezilla bei meinem Server anmelden kann, ohne pageant auszuführen Code>. Ist das normal? Was soll ich tun, um mich weiter vor einem Brute-Force-Angriff zu schützen?

Hier ist das Protokoll: 

  3. Oktober 14:11:52 xxxxxx sshd [29938] : Ungültige Benutzer-Postgres von 212.64.151.233Okt 3 14:11:52 xxxxxx sshd [29938]: input_userauth_request: Ungültige Benutzer-Postgres [preauth] 3. Oktober 14:11:52 xxxxxx sshd [29938]: Trennung von 212.64.151.233: 11 empfangen : Bye Bye [preauth] 3. Oktober 14:11:52 xxxxxx sshd [29940]: Ungültiger Benutzer postgres von 212.64.151.233Okt 3 14:11:52 xxxxxx sshd [29940]: input_userauth_request: ungültiger Benutzer postgres [preauth] 3. Oktober 14 : 11: 52 xxxxxx sshd [29940]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:52 xxxxxx sshd [29942]: Ungültige Benutzerpostgres von 212.64.151.233Okt 3 14:11: 52 xxxxxx sshd [29942]: input_userauth_request: ungültiger Benutzer postgres [preauth] 3. Oktober 14:11:52 xxxxxx sshd [29942]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:52 xxxxxx sshd [29944]: Ungültiger Benutzer postgres von 212.64.151.233Oct 3 14:11:52 xxxxxx sshd [29944]: input_userauth_request: ungültiger Benutzer postgres [preauth] 3. Oktober 14:11:52 xxxxxx sshd [29944]: Trennung von 212.64.151.233: 11 empfangen: Bye Bye [preauth] 3. Oktober 14 : 11: 52 xxxxxx sshd [29946]: Unterbrechung von 212.64.151.233 erhalten: 11: Bye Bye [preauth] 3. Oktober 14:11:52 xxxxxx sshd [29948]: Unterbrechung von 212.64.151.233 erhalten: 11: Bye Bye [preauth ] 3. Oktober 14:11:52 xxxxxx sshd [29950]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:52 xxxxxx sshd [29952]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:53 xxxxxx sshd [29954]: Ungültiger Benutzeradministrator von 212.64.151.233
3. Oktober 14:11:53 xxxxxx sshd [29954]: input_userauth_request: ungültiger Benutzer admin [preauth] 3. Oktober 14:11:53 xxxxxx sshd [29954]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:53 xxxxxx sshd [29956]: Ungültiger Benutzeradministrator von 212.64.151.233Okt 3 14:11:53 xxxxxx sshd [29956]: input_userauth_request: Ungültiger Benutzeradministrator [preauth] 3. Oktober 14:11:53 xxxxxx sshd [29956 ]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:53 xxxxxx sshd [29958]: Ungültiger Benutzeradministrator von 212.64.151.233Okt 3 14:11:53 xxxxxx sshd [29958]: input_userauth_request : ungültiger Benutzer admin [preauth] 3. Oktober 14:11:53 xxxxxx sshd [29958]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:53 xxxxxx sshd [29960]: Benutzer mysql nicht erlaubt, weil Konto gesperrt istOkt 3 14:11:53 xxxxxx sshd [29960]: input_userauth_request: ungültiger Benutzer mysql [preauth] 3. Oktober 14:11:53 xxxxxx sshd [29960]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [ preauth] 3. Oktober 14:11:53 xxxxxx s shd [29962]: Benutzer mysql nicht zulässig, da Konto gesperrt istOkt 3 14:11:53 xxxxxx sshd [29962]: input_userauth_request: ungültiger Benutzer mysql [preauth] 3. Oktober 14:11:53 xxxxxx sshd [29962]: Verbindung von 212.64 getrennt .151.233: 11: Bye Bye [preauth] 3. Oktober 14:11:53 xxxxxx sshd [29964]: Ungültiger Benutzer prueba von 212.64.151.233Okt 3 14:11:53 xxxxxx sshd [29964]: input_userauth_request: ungültiger Benutzer prueba [preauth ] 3. Oktober 14:11:53 xxxxxx sshd [29964]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:53 xxxxxx sshd [29966]: Ungültiger Benutzer prueba von 212.64.151.233Okt 3 14:11:53 xxxxxx sshd [29966]: input_userauth_request: ungültiger Benutzer prueba [preauth] 3. Oktober 14:11:53 xxxxxx sshd [29966]: Trennung von 212.64.151.233: 11 empfangen: Bye Bye [preauth] 3. Oktober 14: 11:53 xxxxxx sshd [29968]: Ungültiges Benutzer-Usuario von 212.64.151.233Okt 3 14:11:53 xxxxxx sshd [29968]: input_userauth_request: Ungültiges Benutzer-Usuario [preauth]
3. Oktober 14:11:53 xxxxxx sshd [29968]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:54 xxxxxx sshd [29970]: Ungültiges Benutzer-Usuario von 212.64.151.233Okt 3 14 : 11: 54 xxxxxx sshd [29970]: input_userauth_request: ungültiger Benutzer usuario [preauth] 3. Oktober 14:11:54 xxxxxx sshd [29970]: Unterbrechung von 212.64.151.233 empfangen: 11: Bye Bye [preauth] 3. Oktober 14:11 : 54 xxxxxx sshd [29972]: Ungültiger Benutzeradministrator von 212.64.151.233Okt 3 14:11:54 xxxxxx sshd [29972]: input_userauth_request: Ungültiger Benutzeradministrator [preauth] 3. Oktober 14:11:54 xxxxxx sshd [29972]: Erhalten Verbindung zu 212.64.151.233: 11: Bye Bye [preauth] 3. Oktober 14:11:54 xxxxxx sshd [29974]: Ungültige Benutzer-Nagios von 212.64.151.233Okt 3 14:11:54 xxxxxx sshd [29974]: input_userauth_request: ungültiger Benutzer nagios [preauth] 3. Oktober 14:11:54 xxxxxx sshd [29974]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:54 xxxxxx sshd [29976]: Ungültiger Benutzer nagios von 212.64. 151.233Okt 3 14:11:54 xxxxxx sshd [29976]: Eingabe _userauth_request: Ungültiger Benutzer nagios [preauth] 3. Oktober 14:11:54 xxxxxx sshd [29976]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:54 xxxxxx sshd [29978]: Ungültiger Benutzer Nagios von 212.64.151.233Okt 3 14:11:54 xxxxxx sshd [29978]: input_userauth_request: ungültiger Benutzer nagios [preauth] 3. Oktober 14:11:54 xxxxxx sshd [29978]: Verbindung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:54 xxxxxx sshd [29980]: Ungültige Benutzer-Nagios von 212.64.151.233Okt 3 14:11:54 xxxxxx sshd [29980]: input_userauth_request: ungültige Benutzer-Nagios [preauth] 3. Oktober 14:11: 54 xxxxxx sshd [29980]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:54 xxxxxx sshd [29982]: Ungültiges Benutzerorakel von 212.64.151.233Okt 3 14:11:54 xxxxxx sshd [29982]: input_userauth_request: ungültiges Benutzerorakel [preauth] 3. Oktober 14:11:54 xxxxxx sshd [29982]: Trennung von 212.64.151.233: 11 empfangen: Bye Bye [preauth]
3. Oktober 14:11:54 xxxxxx sshd [29984]: Ungültiges Benutzerorakel von 212.64.151.233Okt 3 14:11:54 xxxxxx sshd [29984]: input_userauth_request: Ungültiges Benutzerorakel [preauth] 3. Oktober 14:11:54 xxxxxx sshd [29984]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:54 xxxxxx sshd [29986]: Ungültiges Benutzerorakel von 212.64.151.233Okt 3 14:11:54 xxxxxx sshd [29986] : input_userauth_request: ungültiger Benutzer oracle [preauth] 3. Oktober 14:11:54 xxxxxx sshd [29986]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:55 xxxxxx sshd [29988]: Ungültig Benutzer Orakel von 212.64.151.233Okt 3 14:11:55 xxxxxx sshd [29988]: input_userauth_request: ungültiges Benutzer Orakel [preauth] 3. Oktober 14:11:55 xxxxxx sshd [29988]: Trennung von 212.64.151.233: 11 erhalten: Tschüss Tschüss [preauth] 3. Oktober 14:11:55 xxxxxx sshd [29990]: Ungültiger Benutzer ftpuser von 212.64.151.233Okt 3 14:11:55 xxxxxx sshd [29990]: input_userauth_request: ungültiger Benutzer ftpuser [preauth] 3. Oktober 14:11 : 55 xxxxxx sshd [29990]: Dis erhalten Verbindung herstellen von 212.64.151.233: 11: Bye Bye [preauth] 3. Oktober 14:11:55 xxxxxx sshd [29992]: Ungültiger Benutzer ftpuser von 212.64.151.233Okt 3 14:11:55 xxxxxx sshd [29992]: input_userauth_request: ungültiger Benutzer ftpuser [preauth] 3. Oktober 14:11:55 xxxxxx sshd [29992]: Unterbrechung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:55 xxxxxx sshd [29994]: Ungültiger Benutzer ftpuser von 212.64. 151.233Okt 3 14:11:55 xxxxxx sshd [29994]: input_userauth_request: ungültiger Benutzer ftpuser [preauth] 3. Oktober 14:11:55 xxxxxx sshd [29994]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] Okt. 3 14:11:55 xxxxxx sshd [29996]: Ungültiger Benutzergast von 212.64.151.233Okt 3 14:11:55 xxxxxx sshd [29996]: input_userauth_request: Ungültiger Benutzergast [preauth] 3. Oktober 14:11:55 xxxxxx sshd [ 29996]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:55 xxxxxx sshd [29998]: Ungültiger Benutzergast von 212.64.151.233
3. Oktober 14:11:55 xxxxxx sshd [29998]: input_userauth_request: ungültiger Benutzergast [preauth] 3. Oktober 14:11:55 xxxxxx sshd [29998]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:55 xxxxxx sshd [30000]: Ungültiger Benutzergast von 212.64.151.233Okt 3 14:11:55 xxxxxx sshd [30000]: input_userauth_request: Ungültiger Benutzergast [preauth] 3. Oktober 14:11:55 xxxxxx sshd [30000 ]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:55 xxxxxx sshd [30002]: Ungültiger Benutzergast von 212.64.151.233Okt 3 14:11:55 xxxxxx sshd [30002]: input_userauth_request : ungültiger Benutzer Gast [preauth] 3. Oktober 14:11:55 xxxxxx sshd [30002]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:56 xxxxxx sshd [30004]: Ungültiger Benutzertest von 212.64.151.233Okt 3 14:11:56 xxxxxx sshd [30004]: input_userauth_request: ungültiger Benutzertest [preauth] 3. Oktober 14:11:56 xxxxxx sshd [30004]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [ preauth] 3. Oktober 14:11:56 xxxxxx sshd [30006]: Ungültiger Benutzertest von 212.64.151.233Okt 3 14:11:56 xxxxxx sshd [30006]: input_userauth_request: ungültiger Benutzertest [preauth] 3. Oktober 14:11:56 xxxxxx sshd [30006]: Trennung von 212.64.151.233: 11 empfangen: Bye Bye [preauth] 3. Oktober 14:11:56 xxxxxx sshd [30008]: Ungültiger Benutzertest von 212.64.151.233Okt 3 14:11:56 xxxxxx sshd [30008]: input_userauth_request: Ungültiger Benutzertest [preauth] 3. Oktober 14: 11:56 xxxxxx sshd [30008]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:56 xxxxxx sshd [30010]: Ungültiger Benutzertest von 212.64.151.233Okt 3 14:11:56 xxxxxx sshd [30010]: input_userauth_request: ungültiger Benutzertest [preauth] 3. Oktober 14:11:56 xxxxxx sshd [30010]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:56 xxxxxx sshd [30012]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:56 xxxxxx sshd [30014]: Ungültiger Benutzerbenutzer von 212.64.151.233Okt 3 14:11:56 xxxxxx sshd [30014] : input_userauth_request: ungültiger Benutzer user [preauth]
3. Oktober 14:11:56 xxxxxx sshd [30014]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:56 xxxxxx sshd [30016]: Ungültiger Benutzer Benutzer von 212.64.151.233Okt 3 14 : 11: 56 xxxxxx sshd [30016]: input_userauth_request: ungültiger Benutzer user [preauth] 3. Oktober 14:11:56 xxxxxx sshd [30016]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11 : 56 xxxxxx sshd [30018]: Ungültiger Benutzerbenutzer von 212.64.151.233Okt 3 14:11:56 xxxxxx sshd [30018]: input_userauth_request: ungültiger Benutzerbenutzer [preauth] 3. Oktober 14:11:56 xxxxxx sshd [30018]: Empfangen Trennen von 212.64.151.233: 11: Bye Bye [preauth] 3. Oktober 14:11:57 xxxxxx sshd [30020]: Ungültiger Benutzerbenutzer von 212.64.151.233Okt 3 14:11:57 xxxxxx sshd [30020]: input_userauth_request: ungültiger Benutzer user [preauth] 3. Oktober 14:11:57 xxxxxx sshd [30020]: Trennung von 212.64.151.233: 11 empfangen: Bye Bye [preauth] 3. Oktober 14:11:57 xxxxxx sshd [30022]: Ungültiger Benutzer jboss von 212.64. 151.233Okt 3 14:11:57 xxxxxx sshd [30022]: input_userauth_req uest: ungültiger Benutzer jboss [preauth] 3. Oktober 14:11:57 xxxxxx sshd [30022]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:57 xxxxxx sshd [30024]: Ungültiger Benutzer jboss von 212.64.151.233Okt 3 14:11:57 xxxxxx sshd [30024]: input_userauth_request: ungültiger Benutzer jboss [preauth] 3. Oktober 14:11:57 xxxxxx sshd [30024]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:57 xxxxxx sshd [30026]: Ungültiger Benutzer-Tintenfisch von 212.64.151.233Okt 3 14:11:57 xxxxxx sshd [30026]: input_userauth_request: ungültiger Benutzer-Tintenfisch [preauth] 3. Oktober 14:11: 57 xxxxxx sshd [30026]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:57 xxxxxx sshd [30028]: Ungültiger Benutzer-Tintenfisch von 212.64.151.233Okt 3 14:11:57 xxxxxx sshd [30028]: input_userauth_request: Ungültiger Benutzer-Tintenfisch [preauth] 3. Oktober 14:11:57 xxxxxx sshd [30028]: Trennung von 212.64.151.233: 11 empfangen: Bye Bye [preauth] 3. Oktober 14:11:57 xxxxxx sshd [30030 ]: Ungültige Benutzertemperatur von 212.64.151.233
3. Oktober 14:11:57 xxxxxx sshd [30030]: input_userauth_request: ungültige Benutzertemperatur [preauth] 3. Oktober 14:11:57 xxxxxx sshd [30030]: Trennung von 212.64.151.233: 11 empfangen: Bye Bye [preauth] 3. Oktober 14:11:57 xxxxxx sshd [30032]: Ungültiger Benutzer svn von 212.64.151.233Okt 3 14:11:57 xxxxxx sshd [30032]: input_userauth_request: Ungültiger Benutzer svn [preauth] 3. Oktober 14:11:57 xxxxxx sshd [30032 ]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth] 3. Oktober 14:11:57 xxxxxx sshd [30034]: Ungültige Benutzer-ts von 212.64.151.233Okt 3 14:11:57 xxxxxx sshd [30034]: input_userauth_request : ungültiger Benutzer ts [preauth] 3. Oktober 14:11:57 xxxxxx sshd [30034]: Trennung von 212.64.151.233: 11 erhalten: Bye Bye [preauth]
Sieben antworten:
Thomas Pornin
2012-10-03 20:12:41 UTC
view on stackexchange narkive permalink

Es ist sehr häufig. Viele Botnets versuchen sich auf diese Weise zu verbreiten, daher ist dies ein weitreichender sinnloser Angriff. Zu den Maßnahmen zur Schadensbegrenzung gehören:

  • Verwenden Sie Kennwörter mit hoher Entropie , bei denen es sehr unwahrscheinlich ist, dass sie brutal erzwungen werden.
  • Deaktivieren Sie die SSH-Anmeldung für root .
  • Verwenden Sie einen "unwahrscheinlichen" Benutzernamen, den Botnets nicht verwenden.
  • Deaktivieren Sie die kennwortbasierte Authentifizierung insgesamt.
  • Führen Sie die aus SSH-Server an einem anderen Port als 22.
  • Verwenden Sie fail2ban, um die IP des Angreifers automatisch abzulehnen oder zu verlangsamen.
  • SSH-Verbindungen nur über eine Whitelist von zulassen IP (Achten Sie darauf, sich nicht auszusperren, wenn Ihre private IP nominell dynamisch ist!).

Bei den meisten dieser Maßnahmen geht es darum, Ihre Protokolldateien klein zu halten. Selbst wenn die Brute Force nicht erfolgreich ist, sind die Tausenden von Protokolleinträgen ein Problem, da sie tatsächliche gezielte Angriffe verbergen können. Ein bisschen Sicherheit durch Dunkelheit (wie der unwahrscheinliche Benutzername und die Portänderung) wirkt Wunder gegen sinnlose Angreifer: Ja, Sicherheit durch Dunkelheit ist schlecht und falsch und so weiter, aber manchmal funktioniert es und Sie werden nicht von einem Rachsüchtigen gebraten Gottheit, wenn Sie sie sinnvoll verwenden.

Ein Passwort mit hoher Entropie ist jedoch gegen intelligente Angreifer wirksam und kann nur in allen Situationen empfohlen werden.

Ich würde auch "SSH vom Internet nicht erlaubt" oder "SSH nur von bestimmten IPs erlaubt" hinzufügen. Ich erlaube SSH nur von meinen internen IPs und meiner Arbeits-IP-Adresse zu meinem Heimrouter.
AilihjhvrvCMT FERTIG.
Ist ein Passwort mit hoher Entropie nicht die ultimative Sicherheit durch Dunkelheit? :) :)
@MichaelKjörling: Er. Es ist Sicherheit durch völlige Dunkelheit. Muuuuch besser. (Im Ernst, der ganze Unterschied ist die Quantifizierung: Wenn ich messen kann, wie viel es sicher ist, wie zum Beispiel die Passwortentropie, dann ist es nicht "durch Dunkelheit".)
@ThomasPornin Durch das Verschieben von SSH auf einen zufälligen TCP-Port werden alle anderen Sicherheitsmaßnahmen, die Sie getroffen haben, um etwa 16 Bit Entropie erweitert, da für jeden Port (Quelle und Ziel) in TCP 16 Bit verfügbar sind. Es ist also definitiv messbar. Ich nehme an, Sie könnten auch argumentieren, dass es in der Praxis mehr Entropie hinzufügt, da nichts anderes wichtig ist, bevor der Angreifer diesen Teil richtig macht (Sie wissen nicht einmal, dass SSH verfügbar ist). Trotzdem habe ich die Antwort immer noch positiv bewertet, weil ich der Meinung war, dass es eine große Auswahl möglicher Optionen gibt, um in der Situation des OP zu helfen.
@MichaelKjörling: Leider funktioniert es nicht so: Entropiebits addieren sich nur, wenn die geheimen Daten nur auf einmal angegriffen werden können. Mit SSH können Sie den Server zuerst suchen, indem Sie Portwerte ausprobieren (ein SSH-Server antwortet mit einem Banner). Sobald der SSH-Server gefunden wurde, können die Kennwörter an diesem Port ausprobiert werden, ohne sich um die anderen zu kümmern. Um 16 Bit zusätzliche Entropie zu erhalten, müssen Sie tatsächlich 65000 gefälschte SSH-Server ausführen, die nicht von den realen Servern zu unterscheiden sind, außer dass sie alle Passwörter ablehnen (mmh ... das könnte mit einem gefälschten SSHD und einigen Iptables geschehen).
@ThomasPornin Guter Punkt.
Ich bin ein großer Fan von dem, was Sie erwähnt haben - das Deaktivieren von Kennwortanmeldungen insgesamt.Erzwingen Sie die Anmeldung mit dem SSH-Schlüssel und generieren Sie dann nur "rsa 4096" oder stärkere Schlüssel.Ich empfehle außerdem, Google-Authenticator hinzuzufügen, um eine Multi-Faktor-Authentifizierung zu erfordern, wenn ein Kennwort verwendet wird (z. B. sudo).
user10211
2012-10-03 19:02:59 UTC
view on stackexchange narkive permalink

Die einfachste und sicherste Methode, um unerwünschten Zugriff über SSH auf Ihren Server zu verhindern, besteht darin, nur SSH-Zugriff auf bestimmte Hosts zuzulassen.

Dies kann einfach mit TCP-Wrappern konfiguriert werden, wenn Sie einen Linux-Server verwenden. Firewalls zur Einschränkung des Zugriffs funktionieren ebenfalls.

Im Gegensatz zu den anderen Antworten halte ich es nicht für eine gute Idee, den Standardport des SSH-Dienstes zu ändern. Sicherheit durch Dunkelheit funktioniert niemals und wird einen gezielten Angriff eines entschlossenen Angreifers nicht stoppen. Meiner Erfahrung nach verursacht dies auch einige Usability-Probleme.

Wenn die Beschränkung des SSH-Zugriffs auf einen bestimmten Host nicht möglich ist, kann es auch funktionieren, IP-Adressen, von denen der Angriff ausgeht, auf die schwarze Liste zu setzen. Beachten Sie jedoch, dass dies nicht gegen Angreifer wirksam ist, die mehrere IP-Adressen von anderen gefährdeten Computern verwenden, um Sie anzugreifen.

Ja, ich habe festgestellt, dass die IP-Adressen in meiner Protokolldatei zu variieren scheinen, aber die schwarze Liste von IP-Adressen wird sicherlich jeden davon abhalten, Brute-Force zu versuchen
Außerdem kann ich nicht implementieren, was Sie im ersten Absatz vorgeschlagen haben, da ich eine dynamische IP habe. Ich muss die IP-Adresse in der phpmyadmin apache.conf ständig ändern, um mich bei phpmyadmin anzumelden
OtisBoxcar
2012-10-03 18:48:06 UTC
view on stackexchange narkive permalink

Es gibt ein paar Dinge, die Sie tun können, und ein paar davon klingt so, als ob Sie es bereits tun. Das ist also gut.

  1. Zum Anmelden ist eine Schlüsseldatei erforderlich.
  2. Führen Sie SSH nicht auf Port 22 aus. Dies ist der erste (und normalerweise einzige) Ort, an dem ein Bot sucht, und Sie können 90% dieser Anmeldeversuche durch eine einfache Änderung der SSHD-Konfiguration vermeiden. [ Bearbeiten: Wie Terry Chia zu Recht sagt, ist dies Sicherheit durch Dunkelheit. Es könnte Ihre Protokolle sauberer von Bot-Einträgen halten, aber es wird einen Menschen kein bisschen verlangsamen. Wenn Ihr System immer noch unsicher ist, hilft es nicht, die Unsicherheit auf einen anderen Port zu verschieben.]
  3. Verwenden Sie beispielsweise Fail2ban. Es überwacht Ihre Protokolle und kann Firewall-Regeln hinzufügen, um Pakete von jeder Adresse zu verwerfen, bei der die Anmeldung zu oft fehlschlägt.
  4. Wenn möglich, erlauben Sie nur den Zugriff von IPs auf der Whitelist.
    5. ol>

    Wenn Sie einen Dienst wie SSH haben, der Pakete aus dem Internet akzeptiert, können Sie letztendlich nichts tun, um die Leute davon abzuhalten, ihn anzugreifen. Wenn Sie zufrieden sind, dass Sie geeignete Vorsichtsmaßnahmen getroffen haben, sollten solche Protokolleinträge notiert, aber letztendlich als Hintergrundgeräusche behandelt werden.

Sie alle scheinen jedoch gute Ideen zu sein, da ich tatsächlich eine Website betreibe. 4. wäre nicht möglich zu implementieren. Ich aktiviere die normale SSH-Anmeldung nur, wenn ich Dateien mit Dreamweaver hochladen muss, was schmerzhaft ist.
In Anbetracht dessen, was Sie gesagt haben, empfehle ich, sich mit etwas wie Fail2ban zu befassen. Etwas, um die Wölfe in Schach zu halten, während Sie nicht da sind, um jede IP manuell zu blockieren.
sudhacker
2012-10-03 18:36:44 UTC
view on stackexchange narkive permalink

Ein offener SSH-Port ist definitiv anfällig für diese Art von Angriffen, da es so viele Bots gibt, die versuchen, nach offenen SSH-Ports zu suchen und solche Brute-Force-Angriffe zu starten, um einen zu erreichen. Es tritt offensichtlich ein Problem auf, wenn Sie die Standardeinstellungen für SSHD verwendet und kennwortbasierte Verbindungen zugelassen haben. Zum Glück hast du nicht. Ich glaube, dass das Ändern Ihres Standardports für das Abhören Ihrer SSHD definitiv die Anzahl der Versuche verringert, da die meisten Scanner nach offenem Port 22 suchen. Dies ist "Sicherheit durch Dunkelheit" und definitiv keine empfohlene Lösung. Aber es wird Ihr aktuelles Problem beheben, bis jemand mit mehr Erfahrung eine bessere Lösung bietet.

Ich habe über den Portwechsel gelesen, scheint eine gute Idee zu sein, um Bots vom Geruch abzuhalten
Ja, probieren Sie es aus und lassen Sie uns wissen, ob es geholfen hat
Martin
2012-10-04 11:37:35 UTC
view on stackexchange narkive permalink

Oder verwenden Sie die Blacklist von http://www.blocklist.de/en/export.html und melden Sie alle neuen Angreifer.

Importieren Sie die Datei ssh.txt und blockieren Sie sie Alle IPs, die in den letzten 48 Stunden bei einem SSH-Angriff an die Blacklist gemeldet wurden, oder blockieren sie mit fail2ban und melden sie automatisch an ihren ISP.Iptables-Blocklist-Skript, stehen im Forum zum Download zur Verfügung.

Willkommen bei [security.se] - siehe [FAQ], es wird als schlechte Form angesehen, Ihre Verbindung zu einer von Ihnen beworbenen Website nicht offenzulegen ... was natürlich überhaupt nicht der Punkt einer Antwort sein sollte - siehe Antwort]. Ihre Antwort könnte viel besser sein, wenn Sie erklären, wie die Verwendung dieser Website dem OP helfen würde, anstatt nur einen Link zu löschen. Und bitte geben Sie Ihre Zugehörigkeit bekannt.
Kaz
2012-10-04 02:08:19 UTC
view on stackexchange narkive permalink

Da ich diese SSH-Anforderungen und die Unmengen von Protokollen, die sie generieren, als lästige Verschwendung von Systemressourcen empfinde, verwende ich Port Knocking. Der SSH-Port ist nur für Hosts sichtbar, von denen eine Folge von Klopfen empfangen wird. Für andere Hosts scheint es, als ob auf diesem Computer kein SSH-Dienst vorhanden ist.

Das Klopfen von Ports ist etwas unpraktisch, da für die zuverlässige Verwendung über Langstrecken-Netzwerke mit variabler Verzögerung wirklich ein dedizierter Dienst erforderlich ist Client-Programm zum Senden der Klopfsequenz. Möglicherweise befinden Sie sich auch in einem Netzwerk, das ausgehenden Datenverkehr zu einigen der Portnummern blockiert, die Sie in Ihrer Port-Knock-Sequenz ausgewählt haben.

Anstelle von Port-Knocking können Sie Web-Knocking implementieren. Wenn auf dem Computer ein öffentlicher Webserver ausgeführt wird, können Sie eine kleine Webanwendung (unter einer URL, die nur Sie kennen) so einfügen, dass sie geöffnet wird, wenn Sie diese URL durchsuchen und einen korrekten Wert in ein Formular eingeben und es senden den Port hinauf.

Port-Knocking ist [Sicherheit durch Unbekanntheit] (http://security.stackexchange.com/a/1198/3644). Verwenden Sie stattdessen ssh-Schlüssel und fail2ban.
Das Argument, dass das Klopfen von Ports Sicherheit durch Dunkelheit ist, ist ein reines Twaddle (weil es impliziert, dass das Klopfen von Ports Sicherheit ist, was es nicht ist). Obwohl die Klopfsequenz eine Art Passwort ist, gibt es bei Verwendung keine signifikante Erhöhung der Berechtigungen. Wenn Sie die Sequenz erhalten, haben Sie keinen Zugriff auf etwas Wichtiges erhalten, sondern nur die Möglichkeit, mit einem Port zu kommunizieren (etwas, das viele Server bereits offen lassen). Es kann nicht mit einem Klartext-Passwort verglichen werden, das Ihnen eine Shell-Eingabeaufforderung gibt.
Wenn also beispielsweise 0,01% der Cracker meine Port-Knock-Sequenz erraten, ist mir das egal. Sie steigen nicht ein und die anderen 99,99% haben es nicht erraten. Das hält mein Syslog immer noch sauberer und meine Maschine ruhiger, als wenn ich nicht geklopft hätte.
`fail2ban` sieht cool aus. Ich habe so etwas mit Skripten gemacht, die in Apache eingebunden sind. Es sieht aus wie meine Art von Programm.
gregg
2013-11-27 04:35:24 UTC
view on stackexchange narkive permalink

In Bezug auf Ihre Filezilla / Pagaent-Frage: Die kurze Antwort lautet Ja, das ist normal. Ich würde es eine unbeabsichtigte Nebenwirkung nennen. Nach meiner Erfahrung, wenn Sie Kitt verwenden, richten Sie den privaten Schlüssel dort ein (Verbindung, SSH, Authentifizierung). & speichert die Sitzung, die in der Registrierung gespeichert wird. Wenn Sie die 'Site' in filezilla genauso benennen wie in der Sitzung in putty, überprüft filezilla diese Registrierung für putty. & verwendet sie.

Ich habe in ihren Foren darüber gesprochen (hauptsächlich im Zusammenhang mit der Verwendung passwortgeschützter Schlüssel) i>



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...