SSH-Server "Attrappe" auf Port 22

  • Hallo,
    ich hab mal was von einer SSH-Server "Attrappe" im Internet gelesen, nur leider finde ich nix mehr dazu.
    Das ganze hat folgenden Sinn: Der "echte" SSH-Server zieht natürlich erst mal um auf ein anderes Port. Damit ist ja Port 22 quasi "leer".
    Auf diesem Port wird nun die SSH-Server "Attrappe" gestartet. Dieser sendet immer nur eine Aufforderung zum Login und sagt immer, die Login-Daten sind falsch.
    Somit lassen sich Einbruchsversuche wesentlich schneller erkennen, da ja quasi der erste Login-Versuch ein Angriff ist. Ich denke mal, dass man damit auch Port-Scans vermeidet, da die meisten Hacker wohl zuerst Port 22 testen werden und dann gleich in der openVCP-Firewall landen ;)


    So, ich hoffe mal, dass ihr wisst, was ich meine und mir weiter helfen könnt.

  • Der ganze Aufwand loht sich nicht, es werden eh alle Ports gescanned.



    Einfach


    Code
    1. PasswordAuthentication no


    gut ist. Zusammen mit PuTTY und Pageant ist das auch noch viel bequemer!



    Bebbo

  • Naja, aber wenn ich ihn schon beim ersten Login-Versuch in die SSH-Konsole auf Port 22 in der openVCP-Firewall banne, dürfte sich das Problem mit dem Portscan doch erledigt haben, oder?


    Ich denke mal (wissen tu ich es leider nicht), dass ein Angreifer zuerst mal, auch wenn er den Server gescannt hat, Port 22 als Shell ausprobieren wird. Und sobald er das tut, ist er ja schon vom Server ausgesperrt. Dann kommt er ja gar nicht mehr dazu, den "echten" SSH-Port zu belästigen.


    Von daher hoffe ich doch mal, dass es zumindest etwas bringt...

  • Eine wirksame Alternative, die ich schon lange einsetze, wäre natürlich noch die Verwendung von Portsentry auf Port 22 und eines Skripts (hier im Forum zu finden), das die IP dann bannt, sobald sie auf den Port zugreifen will.

  • Also ich rate dringend von der Nutzung eines VServers als Honeypot ab (sofern überhaupt unter der hier zur Verfügung stehenden Virtualisierung möglich)!

    Ich biete gratis Remotehands (SSH) für alle Netcup Kunden - von Kunde zu Kunde!
    Dazu einfach eine an mich .

  • Nunja, ich will damit ja keine "Hacker" ködern, sondern eigentlich nur vom "echten" SSH-Port ablenken. Sobald einer sich am "falschen" SSH-Server versucht, anzumelden, landet er in der openVCP-Firewall.
    Der Skript ist zwar noch nicht ganz fertig, dürfte aber heute fertig werden. Das ganze führt ein Cronjob jede Minute durch.


    Wenn es bessere Lösungen gibt, schnell einen Angriff auf Port 22 zu detektieren und den entsprechenden in der Firewall zu sperren, bin ich gerne bereit, dass auszuprobieren. Momentan kenne ich jedoch nur diese Lösung.

  • Die einfachste Lösung ist, Port 22 einfach geschlossen zu lassen. Du hast SSH doch eh auf einem anderen Port, warum dann also noch einen Dienst aufmachen, welcher "so tut als ob" ? Das ist sinnfrei.

    Ich biete gratis Remotehands (SSH) für alle Netcup Kunden - von Kunde zu Kunde!
    Dazu einfach eine an mich .

  • fLoo;22924 wrote:

    Die einfachste Lösung ist, Port 22 einfach geschlossen zu lassen. Du hast SSH doch eh auf einem anderen Port, warum dann also noch einen Dienst aufmachen, welcher "so tut als ob" ? Das ist sinnfrei.


    Nunja, der Sinn der Sache ist es halt, den "Hacker" so früh wie möglich zu erkennen und zu sperren. Und ich denk mir mal, dass es der übliche Hacker zuerst mal am Port 22 probiert. Sobald er das nun tut, landet er in der openVCP-Firewall und dann hab ich Ruhe vor dem.
    Dann hat er gar nicht mehr die Chance, andere Ports zu testen.

  • Hacker sperrst du damit schonmal garnicht aus. Scriptkiddies versuchen vielleicht per BF auf Port 22 irgendetwas zu reißen, da machst du dir hier nur mehr Probleme. Wenn ich schon auf Port 22 irgendetwas bemerke und dann ausgesperrt werde, wirds doch erst richtig interessant ;)

    Ich biete gratis Remotehands (SSH) für alle Netcup Kunden - von Kunde zu Kunde!
    Dazu einfach eine an mich .

  • j-wolter;22925 wrote:

    Nunja, der Sinn der Sache ist es halt, den "Hacker" so früh wie möglich zu erkennen und zu sperren. Und ich denk mir mal, dass es der übliche Hacker zuerst mal am Port 22 probiert. Sobald er das nun tut, landet er in der openVCP-Firewall und dann hab ich Ruhe vor dem.
    Dann hat er gar nicht mehr die Chance, andere Ports zu testen.



    Du blockst vermutlich eine dynamisch vergebene IP. Am Besten für sehr lange, dann steigt die Chance, dass Du Unschuldige triffst.


    Mal sehen, wann es jemand schafft Dich zu blocken, weil Du die IP blockiert hast, die Dir gleich zugeteilt wird ...


    ... egal: Wer sowas installiert, der will spielen und bespielt werden. Mit einem ernsthaften Server hat das nichts zu tun.


    Bebbo

  • So, hab das ganze jetzt eh wieder deinstalliert und werde mir mal Portsentry anschauen. Im Grunde reicht das ganze für meinen "neuen Plan" (den ich jetzt nur noch Umsetzten muss^^):


    Der vermutliche Hacker wird nicht mehr komplett ausgesperrt, sondern darf noch auf Port 80 zugreifen. Somit kriegt er von der Sperre fast gar nichts mit, da ja Port 80 noch geht. Wird sich wohl nur etwas wundern, was mir aber egal sein kann^^
    Im Idealfalle wäre es dann noch gut, dem Webserver irgendwie die Sperre mitteilen zu können und den Hacker auf eine statische Website weiterzuleiten, sowas wie "Website in Arbeit". Sollte er sich mit einem DoS rächen wollen, wird der Server immerhin nicht durch php-Skripte zu stark belastet, bis die Firewall ihn auch für Port 80 sperrt.


    Und keine Angst, die IP's werden nur für 24h gespeichert, also sollte es kaum Unschuldige treffen ;)


    So, ich hoffe, ich "provoziere" damit keine Hacker meinen vServer zu knacken und das ganze bietet zumindest etwas mehr Schutz.