Probleme mit SSH

  • Hallo,

    ich weiß das ich vor einigen Wochen gesagt habe das ich nicht viel an die Sicherheit meines servers setze,


    ich vermute das es mich jetzt grade erwischt hat, SSH Verbindungen landen in einem Timeout, der Server scheint beschwerlich zu arbeiten, obwohl er kaum was zutun hat. Ich habe es geschafft mich als root einzuloggen, landet auch in einem ständigen Verbindungsabbruch.


    Hat jemand eine sinnvolle Maßnahme (außer den server zu pausieren und mit Rettungssystemen zu arbeiten) die ich ergreifen könnte um das hier zu lösen. Webserver/Website, Datenbank etc. funktionieren noch

  • Du könntest schauen, was deinen Server so lahmlegt (top / htop).

    Da ich bei meinem Server auch gerade eine deutlich angestiegene Anzahl an SSH Verbdindungsversuchen ausmache, könnte ich mir vorstellen dass einfach der SSH Daemon von Anfragen überlastet wird. Dann müsstest du dich zumindest noch im SCP einloggen können und den SSH Server stoppen. Dann vielleicht auf einen anderen Port legen, wenn du dich wieder einloggen willst.

    Dann natürlich auf Key-based Authentification umstellen und Login per Passwort deaktivieren.


    Wenn es nicht an SSH liegt, musst du das andere Problem beseitigen ;)

  • Das Thema hat sich nach nerviger Arbeit erledigt, ich habe erstmal da über SSH nichts mehr ging mich über die leider sowieso sehr langsame VNC Console eingeloggt. Dort habe ich Etherape (grafisch) installiert, dies zeigt an in welchem Protokoll von wo anfragen kommen. Auf diese Überlastung kam ich, da unter

    Code
    sudo lastb

    Jede Sekunde mehrere Einträge generiert wurden. Danach kam die nervige Arbeit des IPs kopieren, in Google einfügen und suchen ob diese Adresse gemeldet wurde. Dabei installierte ich auch gleich Fail2Ban womit ich die gemeldeten IPs bannte. Damit lief das System wieder rund, zusätzlich spielte ich wie folgt noch Einträge einer Abuse Datenbank ein.

    Code
    wget http://mirror.ip-projects.de/ip-blacklist
    cat ip-blacklist | xargs -n1 iptables -I INPUT -j DROP -s
    rm ip-blacklist
    rm ip-blacklist.*

    Umfassende Ruhe bereitete das immer noch nicht und es gab immer noch zugriffe von mir bisher unbekannten Diensten und Ports, aber es lief alles wieder Schnell.

    Screenshot 2019-02-07 at 11.59.13.png

    Ich hoffe ich konnte hiermit anderen die evtl. dasselbe Problem haben helfen, danke außerdem für eure vorschlage

  • Wenn ich Dich jetzt nicht vollkommen falsch verstanden habe hast Du gerade auf eine blutdende Wunde einen Backstein gelegt damit man nicht mehr sieht das es blutet.


    Wie wäre es, wenn Du einfach mal schaust, wo diese ganzen Anmeldungen herkommen? Übliche Anlaufstelle auf Debian Systemen wäre zum Beispiel das auth.log.


    Auch die Frage ob Du mal einen Blick in htop geworfen hast, welcher Prozess überhaupt die Last verursacht, hast Du unbeantwortet gelassen.

  • Wenn ich das richtig gesehen habe, ist die Liste von 2015 (jedenfalls sieht das so aus wenn man den Link aufruft).

    Was sind das denn für Verbindungen mit dem MS-DS Protokoll?

    Was sind das für Unbekannte Protokolle?

  • Wenn ich Dich jetzt nicht vollkommen falsch verstanden habe hast Du gerade auf eine blutdende Wunde einen Backstein gelegt damit man nicht mehr sieht das es blutet.

    So verstehe ich das auch.


    Hast du eine Grundfirewall (nach Whitelist-Prinzip) mit deiner Blacklist ergänzt, oder hast du wohlmöglich nur die Blacklists eingespielt, und denkst jetzt, dass du ne Firewall hast?


    Eine Firewall sollte grundsätzlich auf Whitelist Basis aufgebaut sein. Also du sperrst alles, und legst fest, welche Ports über welche Protokolle (optional noch von welchen IP's) angesprochen werden dürfen. Das in Verbund mit einem nicht Standard SSH-Port im 5-stelligen Bereich sollte schonmal einen Großteil abwenden.

    Deine Blacklist ist zwar an sich sinnvoll, aber wenn sie so wie ich das hier rauslese 3-4 Jahre alt ist, kannst du dir die auch schenken, denke ich.

    Dein Ansatz mit Fail2Ban war schon garnicht mal so übel, aber eine Firewall nach purem Blacklist-Prinzip ist eben das, was perryflynn beschrieben hat - "aus den Augen, aus dem Sinn" gibts beim Thema IT-Security nicht.


    Die hohe Last kann btw. durchaus aus einem DDoS Angriff entstammen. Den Spaß hatte ich mal mit nem DNS-Server (da war der Port aber bewusst offen, und das wurde dann ausgenutzt).

    Bzgl. Analyse kann ich auch htop, und zusätzlich noch iftop empfehlen.

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Code
    wget http://mirror.ip-projects.de/ip-blacklist
    cat ip-blacklist | xargs -n1 iptables -I INPUT -j DROP -s
    rm ip-blacklist
    rm ip-blacklist.*


    Das läuft als Cronjob oder machst du das manuell?

    Und um Gottes wieso so viele Addressen nach iptables??? Das ist ein Performance-Killer. Nicht umsonst gibt es aktuelle und performante Lösungen.

    "Security is like an onion - the more you dig in the more you want to cry"

  • Das läuft als Cronjob oder machst du das manuell?

    Und um Gottes wieso so viele Addressen nach iptables??? Das ist ein Performance-Killer. Nicht umsonst gibt es aktuelle und performante Lösungen.

    Manuell, also ich merk keinen Performance Unterschied

  • Die verlinkte Liste würde ich nochmal genauer kontrollieren. Da sind nach einem kurzen ersten Blick mehrere aktive Googlebot Adressen dabei. Wäre wahrscheinlich nicht so glücklich diesen auszusperren.