Was tun bei Server Attacken?

    Hallo Netcupers,


    was tun bei Server Attacken?


    Gerade auf dem eigenen Server angekommen, bemerke ich, das alles ehr zähflüssig läuft. Putty! Wie in Zeitlupe mit Aussetzern.


    Schau im auth.log nach und sehe dort:


    seit 12:27 Uhr versucht sich jemand unter der IP Adresse 201.16.225.241
    einzuloggen. DenyHosts weiß zwar was zu tun ist, aber ständiges Anfragen von dieser IP Adresse verlangsamt meinen Server doch erheblich.


    Die Ip Adresse gehört zu:


    inetnum: 201.16.192/18
    aut-num: AS16735
    abuse-c: CST87
    owner: COMPANHIA DE TELECOMUNICACOES DO BRASIL CENTRAL
    ownerid: 071.208.516/0001-74
    responsible: Leovaldo Martins Araújo
    country: BR
    owner-c: CCRDO
    tech-c: GAD19
    inetrev: 201.16.224/21
    nserver: nspar.ctbc.com.br
    nsstat: 20091122 AA
    nslastaa: 20091122
    nserver: nssar.ctbc.com.br
    nsstat: 20091122 AA
    nslastaa: 20091122
    created: 20050615
    changed: 20081229


    Was nun nicht zwingend bedeutet, dass das auch der Ursprungsort ist.


    Ich war zwar schon des öfteren in Brasilien, aber so schlecht und rüpelhaft habe ich mich nun auch nicht benommen *gg*.


    Also, was tun? Abwarten? Gibt es geeignete Gegenmaßnahmen ohne Brasilien in den Abgrund zu stürzen?


    LG,
    Sunshine

    1. SSH Port umsetzen
    2. SSH Login nur mit Key
    3. Denyhosts (hast du bereits)
    4. IP in der Firewall blocken.


    Weiß nicht ob es ein Script gibt dass die IPs direkt in der Firewall blockt, so wie bei denyhosts, denke aber schon.
    Musste nur mal bisschen im Forum suchen.

    Ich weiß nicht, ob das Weisheit letzter Schluß wäre.
    Es ist ja ein ständiges Anfragen auf meine Ip Adresse.
    Naja, obwohl...


    Ein LoadBalancer wäre vielleicht eine Lösung, wo Kunden von Netcup entsprechende IP´s eintragen
    könnten, um diese dann ins Nirwana zu schicken. Aber das wäre etwas, das Netcup realisieren müßte.


    Aber danke Servior für deine Hinweise :)


    LG,
    Sunshine


    Edit:
    Seit 6 Stunden läuft der Mist jetzt?!
    ProFtpd und Postfix sind runtergefahren, um die Angriffsfläche noch kleiner zu machen.

    Hast du die Quell-IP in der Firewall vom openVCP jetzt schon blockiert?
    Damit sollten die Anfragen doch eine Ende haben, da sie nicht mehr bis zu deinem vServer durchkommen ;)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Schätze, die Firewall ist noch nicht aktiviert.
    Ich kenne mich mich IP Tables nicht aus, und muß mich
    erstmal damit auseinandersetzen.
    Wenn das geschehen, spricht nix dagegen.


    Der Heise Tip war gut.
    Installiere noch fail2ban und hoffe, dass das für´s erste
    ausreicht.


    Danke und Gruß :)
    Sunshine

    Zitat:
    "Das Tool(fail2ban) unterstützt aber trotzdem von Haus aus die Wrapper-Technik sowie ipfw"


    Zitat aus dem Heise Artikel.


    fail2ban installiert.
    Was wirklich scharf ist, seit ein paar Minuten läßt sich mit
    Putty ungewöhnlich flexibel und schnell arbeiten.
    Der Zeitlupeneffekt und die Aussetzer sind verschwunden.


    Das hat doch was :)


    Danke und´nen schönen Sonntag noch :)
    Sunshine

    guten abend,

    ich will kurz bissel senf dazu geben.

    meine einstellungen treffen auf Servior ersten post(punkt 1und 2)zu.
    bei mir läuft kein fail2ban oda denyh... .

    ich verzeichne keine anfragen in den log's.

    was ich sagen will.
    man braucht die tools garnicht.
    wichtig ist die richtige wahl der ports.

    Lg

    Zitat von Sunshine;9866

    In Ordnung chitypo
    Wo genau verändere ich die Ports?
    Und welche wären, als Beispiel, zu nennen?

    Danke :)
    Sunshine



    Guten Morgen Sunshine,

    ich wähle da gerne eine Zahl im dreistelligen bereich.
    denyh.. und fail2ban find ich als verschenkte ressourcen.
    die zwei tools machen ihre arbeit gut.
    hatte sie auch schon einmal im einsatz.
    aber wo ich versuchte die verschiedensten ssh ports zu testen und merkte, hay da scant bzw sucht niemand habe ich die ports bei behalten.
    und dies geht jetzt schon recht lang so gut.


    Zitat von Sunshine;9866


    Edit:
    Hätte mich genauer asudrücken sollen.
    ausser sshd_config und port 22..., wo noch?



    kommt darauf an was geändert werden soll.
    und dann die jeweilige config

    zugriffe über ssh solten definitiv nicht mehr auf der 22 lauschen.

    Das einzigste problem sind manchmal kiddys übern 80iger. die nerven.
    aber es wurde von netcup mal geschrieben, wenn zuviele anfragen von einer ip rein zwitschern werden diese geblockt.

    ich trag sie auch in der firewall ein und drop diese.

    Die Tools bringen sowieso nichts.
    Tools wie denyhosts und fail2ban müssten auf einem anderen System installiert werden. Bei DOS Angriffen ist zB die Last trotzdem auf dem Server. Das Paket muss ja erst mal angenommen werden, damit es geblockt werden kann.


    Und solang man bei SSH brav nur Keys zulässt, ist es sowieso sinnlos.

    Hallo Netcupers,


    danke für Eure Tips und Tricks.
    Ich schätze, ich werde den Port 22 noch "verbiegen" und
    damit hat sich das dann. Allerdings, nur Keys nutzen hat natürlich
    auch was.
    Für den Moment jedenfalls kann ich schon besser schlafen *g*


    Herzlichen Dank :)


    LG,
    Sunshine