SSH-Angriffe schon am ersten Tag

  • Hatte ich früher mal im Einsatz, das nervige dabei war, das, zumindest zum damaligen Zeitpunkt, keine Möglichkeit bestand, das Portknocking automatisiert vom Smartphone auszuführen.

    Kann ich nachvollziehen, aber da mein SSH-Hardwarekey kein NFC hat, kann ich das soweiso nicht :D

    Ich hab's auf meinen Geräten aber mit einer bash function gelöst, das dürfte doch auch auf dem Smartphone klappen?

  • ich hatte auch immer Ruhe durch Portverlegung. Klar das hält nur die bots ab doch seit 2 Wochen hab ich nun auch so n Lustigen hier.

    Sobald ich den Port verlege, gehts nach 10 min auf dem neuen Port weiter. Fail2ban macht den Rest und es sind aktuell immer so 900 IPs gesperrt.

    Aber ich blocke auch für 10 Tage, und der Angreifer hat eher ein kleines Portfolio an Rechner, aber es nervt trotzdem

    Nungut ich nutze immer noch eine Option die hier bisher nicht erwähnt wurde und die ich immer für sicher gehalten habe.

    AllowUsers

    Aber da mich der Caspar nervt hab ich heute zu meinem Bedauern eine Funktion gefunden die das alles unnütz macht

    ssh -G IP (hier muss nichtmal der richtige Port angegeben werden)

    ich hab dann heute auch auf keys umgestellt ;)

    Ich klinke mich mal in das Thema ein:

    kann ich das umgehen dass die ganze Config von aussen abgerufen werden kann?



    LG

    michi

    It's me, only me, pure michi 🦆

    RS 1000 SAS G8 | Cyber Quack

    VPS: 50 G7 |B Ostern 2017|200 | Karneval | piko

    WH: SmallEi | Adv17 Family |4000 SE|1000 SE

  • kann ich das umgehen dass die ganze Config von aussen abgerufen werden kann?

    Wenn ich mich nicht ganz irre, gibt ssh -G host lediglich die lokale Clientconfig aus.

    Es wird nur geprüft, ob für den angegebenen host vordefinierte Configs lokal gespeichert sind, die dann entsprechend ausgewertet werden. Matched er nichts, wird die default ssh-Client Config ausgegeben.


    Edit: japp, ein Blick in die manpage erklärt den Schalter:

    -G Causes ssh to print its configuration after evaluating Host and Match blocks and exit.

    Edit 2: sehe gerade, dass Hecke das auch bereits im anderen Thread beantwortet hat. ^^:thumbup:

  • Sobald ich den Port verlege, gehts nach 10 min auf dem neuen Port weiter. Fail2ban macht den Rest und es sind aktuell immer so 900 IPs gesperrt.

    Aber ich blocke auch für 10 Tage, und der Angreifer hat eher ein kleines Portfolio an Rechner, aber es nervt trotzdem

    Kannst du dann nicht vielleich einen IP Bereich sperren? Meist haben sie ja eine ähnliche IP.

  • Meistens verbinden wir uns ja eh nur von den selben Maschienen auf die Server, so nutze ich z.B. einen Jumphost und nur die IP von diesem Server (naja einen Backup Jumphost gibt es noch) ist für SSH überhaupt freigegeben (screen, tmux und ssh agent forwarding tun gute Dienste). Meine "Dynamische" IP von Zuhause ist auch freigegeben da ich einen DynDNS Dienst nutze, kann ich per CronJob die IP von meinem DynDNS Host abfragen und habe dann so meine aktuelle IP für die SSH Freigabe parat.

  • Kannst du dann nicht vielleich einen IP Bereich sperren? Meist haben sie ja eine ähnliche IP.

    nein leider nicht, die IP's sind global verteilt, aber wie gesagt der Angreifer hat nicht so viele Rechner unter Kontrolle


    Bodenhaltung

    Die IP-Freigabe hatte ich mal laufen, aber da meine UM-Box alle 1-2 Monate hart resetted werden muss, ist es da auch nervig geworden,

    jedesmal über die vnc-console die neue IP freizuschalten. einen DynDNSDienst nutze ich (noch) nicht. Mal schauen wie sich das noch entwickelt.


    Ich hab das eigentlich ganz gut im Griff, war nur erschrocken über die -G Option aber das hat sich ja zum Glück aufgeklärt :)

    It's me, only me, pure michi 🦆

    RS 1000 SAS G8 | Cyber Quack

    VPS: 50 G7 |B Ostern 2017|200 | Karneval | piko

    WH: SmallEi | Adv17 Family |4000 SE|1000 SE