Probleme mit SSH

  • Hallo,

    ich weiß das ich vor einigen Wochen gesagt habe das ich nicht viel an die Sicherheit meines servers setze,


    ich vermute das es mich jetzt grade erwischt hat, SSH Verbindungen landen in einem Timeout, der Server scheint beschwerlich zu arbeiten, obwohl er kaum was zutun hat. Ich habe es geschafft mich als root einzuloggen, landet auch in einem ständigen Verbindungsabbruch.


    Hat jemand eine sinnvolle Maßnahme (außer den server zu pausieren und mit Rettungssystemen zu arbeiten) die ich ergreifen könnte um das hier zu lösen. Webserver/Website, Datenbank etc. funktionieren noch

  • Du könntest schauen, was deinen Server so lahmlegt (top / htop).

    Da ich bei meinem Server auch gerade eine deutlich angestiegene Anzahl an SSH Verbdindungsversuchen ausmache, könnte ich mir vorstellen dass einfach der SSH Daemon von Anfragen überlastet wird. Dann müsstest du dich zumindest noch im SCP einloggen können und den SSH Server stoppen. Dann vielleicht auf einen anderen Port legen, wenn du dich wieder einloggen willst.

    Dann natürlich auf Key-based Authentification umstellen und Login per Passwort deaktivieren.


    Wenn es nicht an SSH liegt, musst du das andere Problem beseitigen ;-)

  • Dann vielleicht auf einen anderen Port legen, wenn du dich wieder einloggen willst.

    Ich kann auch hier nur wieder an die OpenVPN Taktik appellieren. OpenVPN Install Script

    Es gibt keinen Grund, irgendwelche Dienste öffentlich zugreifbar zu machen, die nicht öffentlich zugreifbar sein müssen.

    VPS 1000 G8 Plus | VPS 200 G8 BF | VPS 200 G8 | Odroid XU4Q


    Wer im Netz Anstand und Respekt verliert, ist auch im realen Leben für nichts zu gebrauchen! ;)

  • Das Thema hat sich nach nerviger Arbeit erledigt, ich habe erstmal da über SSH nichts mehr ging mich über die leider sowieso sehr langsame VNC Console eingeloggt. Dort habe ich Etherape (grafisch) installiert, dies zeigt an in welchem Protokoll von wo anfragen kommen. Auf diese Überlastung kam ich, da unter

    Code
    1. sudo lastb

    Jede Sekunde mehrere Einträge generiert wurden. Danach kam die nervige Arbeit des IPs kopieren, in Google einfügen und suchen ob diese Adresse gemeldet wurde. Dabei installierte ich auch gleich Fail2Ban womit ich die gemeldeten IPs bannte. Damit lief das System wieder rund, zusätzlich spielte ich wie folgt noch Einträge einer Abuse Datenbank ein.

    Code
    1. wget http://mirror.ip-projects.de/ip-blacklist
    2. cat ip-blacklist | xargs -n1 iptables -I INPUT -j DROP -s
    3. rm ip-blacklist
    4. rm ip-blacklist.*

    Umfassende Ruhe bereitete das immer noch nicht und es gab immer noch zugriffe von mir bisher unbekannten Diensten und Ports, aber es lief alles wieder Schnell.

    Screenshot 2019-02-07 at 11.59.13.png

    Ich hoffe ich konnte hiermit anderen die evtl. dasselbe Problem haben helfen, danke außerdem für eure vorschlage

  • Wenn ich Dich jetzt nicht vollkommen falsch verstanden habe hast Du gerade auf eine blutdende Wunde einen Backstein gelegt damit man nicht mehr sieht das es blutet.


    Wie wäre es, wenn Du einfach mal schaust, wo diese ganzen Anmeldungen herkommen? Übliche Anlaufstelle auf Debian Systemen wäre zum Beispiel das auth.log.


    Auch die Frage ob Du mal einen Blick in htop geworfen hast, welcher Prozess überhaupt die Last verursacht, hast Du unbeantwortet gelassen.

  • Wenn ich Dich jetzt nicht vollkommen falsch verstanden habe hast Du gerade auf eine blutdende Wunde einen Backstein gelegt damit man nicht mehr sieht das es blutet.

    So verstehe ich das auch.


    Hast du eine Grundfirewall (nach Whitelist-Prinzip) mit deiner Blacklist ergänzt, oder hast du wohlmöglich nur die Blacklists eingespielt, und denkst jetzt, dass du ne Firewall hast?


    Eine Firewall sollte grundsätzlich auf Whitelist Basis aufgebaut sein. Also du sperrst alles, und legst fest, welche Ports über welche Protokolle (optional noch von welchen IP's) angesprochen werden dürfen. Das in Verbund mit einem nicht Standard SSH-Port im 5-stelligen Bereich sollte schonmal einen Großteil abwenden.

    Deine Blacklist ist zwar an sich sinnvoll, aber wenn sie so wie ich das hier rauslese 3-4 Jahre alt ist, kannst du dir die auch schenken, denke ich.

    Dein Ansatz mit Fail2Ban war schon garnicht mal so übel, aber eine Firewall nach purem Blacklist-Prinzip ist eben das, was perryflynn beschrieben hat - "aus den Augen, aus dem Sinn" gibts beim Thema IT-Security nicht.


    Die hohe Last kann btw. durchaus aus einem DDoS Angriff entstammen. Den Spaß hatte ich mal mit nem DNS-Server (da war der Port aber bewusst offen, und das wurde dann ausgenutzt).

    Bzgl. Analyse kann ich auch htop, und zusätzlich noch iftop empfehlen.

    VPS 1000 G8 Plus | VPS 200 G8 BF | VPS 200 G8 | Odroid XU4Q


    Wer im Netz Anstand und Respekt verliert, ist auch im realen Leben für nichts zu gebrauchen! ;)

  • Code
    1. wget http://mirror.ip-projects.de/ip-blacklist
    2. cat ip-blacklist | xargs -n1 iptables -I INPUT -j DROP -s
    3. rm ip-blacklist
    4. rm ip-blacklist.*


    Das läuft als Cronjob oder machst du das manuell?

    Und um Gottes wieso so viele Addressen nach iptables??? Das ist ein Performance-Killer. Nicht umsonst gibt es aktuelle und performante Lösungen.