Port Scanning - Erfahrungswerte bitte

  • Hallo Kollegen,

    beim Einrichten meines dritten vServers hier bin ich die letzten Tage mal etwas überrascht gewesen dass mir meine fail2ban täglich etwa 800 verschiedene IP's wegen portscanning blockt. Die anderen 2 Server sind komplett still was dies anbelangt. Komplett still bedeutet absolut keine Auffälligkeiten.


    Was habt ihr so für Zahlen was geblockte IP's anbelangt? Ich hab fast die Vermutung dass die mir zugewiesene IP früher entweder heftigst missbraucht werden konnte oder sonst irgendwie besonders interessant für port scanner war. Ich stelle jedoch seit Tagen keine Änderung fest in der Anzahl der gebannten IP's pro Tag.


    Schönen Freitag Abend :)

    Tom

  • Hay,

    Was habt ihr so für Zahlen was geblockte IP's anbelangt?

    relativ wenig - gerade 84. Mag vielleicht auch sein, dass ich sehr streng bin und auch sehr schnell und sehr lange sperre (bei den meisten schon nach dem 2. Fehlversuch und dann heißt es 1 Monat sperren). Das macht mich als Ziel vermutlich unattraktiv.


    Ich überwache auch eine ganze Menge und Kleinigkeiten, z.B. Logins in Wordpress via securi-Logfile - alleine mindestens 30 von den Sperren stammen daher. Heute habe ich mich sogar selbst vom Web ausgeschlossen, weil ich mich beim Roundcube-Login zu oft verhauen habe. Musste mich übers VPN wieder befreien :D

    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Hay,

    relativ wenig - gerade 84. Mag vielleicht auch sein, dass ich sehr streng bin und auch sehr schnell und sehr lange sperre (bei den meisten schon nach dem 2. Fehlversuch und dann heißt es 1 Monat sperren). Das macht mich als Ziel vermutlich unattraktiv.


    Ich überwache auch eine ganze Menge und Kleinigkeiten, z.B. Logins in Wordpress via securi-Logfile - alleine mindestens 30 von den Sperren stammen daher. Heute habe ich mich sogar selbst vom Web ausgeschlossen, weil ich mich beim Roundcube-Login zu oft verhauen habe. Musste mich übers VPN wieder befreien :D

    CU, Peter

    Passiert mir regelmäßig ??

    Gehe dann immer übers Mobilfunknetz.


    Mein größter Fail ist aber das manuelle Droppen meiner IP via iptables weil die Anfragen in den Logs iwie unschlüssig waren, ... War am Ende nen Backup script auf dem NAS was ich nicht im Kopf hatte. ???

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • Besten Dank für die Rückmeldung. Momentan hab ich auf dem neuen noch gar nichts laufen wo irgendwie sonst was versucht werden könnte als Port Scanning.

    Ich fühle mich prinzipiell auch sehr sicher und denke dass ich alle Register gezogen habe die sinnvoll sind.

    Aber irgendwie sind die momentan 769 gebannten in den iptables auch nicht so das gelbe vom Ei. Muss ja alles immer wieder durchwandert werden bevor sonst irgendwas geht.


    Derzeit banne ich einen Tag, nach dem 3ten Versuch. Ich hatte schon eine Woche aber nach dem zweiten Tag fast 1400 gebannte IP's. Das macht sich beim reboot dann auch schon deutlich bemerkbar. Die gebannten die während der Verbannung wieder zugreifen bekommen einen Reject geliefert. In dem groben Umfang hatte ich so etwas noch nie. In der Größenordnung 50 bis 100 permanente meistens.

    Bringt es vielleicht etwas wenn anstatt dem Reject ein Drop gesetzt wird? Darüber scheiden sich ja die Geister.


    Ich hatte fast vermutet dass bei den beiden anderen Servern noch etwas davor sitzt was die Räuber abhält und dort deswegen völlige Ruhe ist.

  • Habe diverse jails für dovecot, postfix, sasl und ssh konfguriert. IPs werden bei mir immer nur für ein paar Minuten gesperrt. Dementsprechend sind bei mir immer nur max ein dutzend IPs geblockt.


    Um den SSH-Zugang mache ich mir auch keine sorgen. Root hat bei mir auch kein Passwort. Zugriff nur per Zertifikat und OTP.

  • Ist halt auch vollkommen egal was die versuchen. Login geht nur mit einem einzigen User der nicht root heißt. Und man braucht zwingend ein Keyfile.

    Hast du den sshd auf port 22 laufen?

    oder wie kommst du zu solchen Zahlen?

    It's me, only me, pure michi 🦆

    RS 1000 SAS G8 | Cyber Quack

    VPS: 50 G7 |B Ostern 2017|200 | Karneval | piko

    WH: SmallEi | Adv17 Family |4000 SE|1000 SE

  • Neueste Erkenntnisse: ich hatte heute das Glück auf dem noch komplett leeren Server direkt eine Art Ablauf von verschiedenen Brute force attacken zu verfolgen und hab das gleich genutzt und diverse Sachen mit iptables ausprobiert.


    Innerhalb eineinhalb Stunden kamen von 8 verschiedenen IP's gesamt etwa 3800 Zugriffe. Eigentlich hauptsächlich für root aber auf hohen ports.

    Zuerst nur für root. Nachdem ich den bewusst noch nicht verschobenen 22 er dann verlegt habe ging das trotzdem genauso weiter. Erst als ich den login für root disabled habe sind die Zugriffe innerhalb etwa 2 Minuten komplett zum Stillstand gekommen.

  • Ändere den ssh port, dann wirst Du so gut wie keine Versuche mehr in den Logs haben. War bei mir jedenfalls so.


    Mir ist es jedenfalls lieber, dass die ganzen Bots, die nur nach Skript den Port 22 abklappern gar nicht mehr die Logs zumüllen und ich dafür dann wirklich nur noch die Leute sehe, die einen umfassenden Port Scan durchführen und anschließend auf den richtigen ssh port losgehen. Für den Zweck habe ich allerdings noch fail2ban am Laufen und root ist auch deaktiviert.


    Seit über einem Jahr habe ich keinen einzigen fehlgeschlagenen Loginversuch mehr in den logs, außer von mir selbst ;)

  • Natürlich. Port verschieben ist IMHO quatsch. Hat nichts mit Sicherheitsgewinn zutun.


    In den (Unternehmens)Netzwerken wo ich mich öfters aufhalte hätte ich dazu wieder das Problem, dass ich nicht auf meine Maschinen komme.

    Du hast Recht, dass es kein Sicherheitsgewinn ist.

    Ich selbst habe den Port umgelegt und bekomme damit 1-2 Loginversuche pro Woche.

    Und da ich logcheck auf dem Server nutze, reduziert sich die Zeit, die ich mit dem Lesen von Emails verbringe, um ein Vielfaches :)

    It's me, only me, pure michi 🦆

    RS 1000 SAS G8 | Cyber Quack

    VPS: 50 G7 |B Ostern 2017|200 | Karneval | piko

    WH: SmallEi | Adv17 Family |4000 SE|1000 SE

  • Das ist so nicht richtig, es nimmt vielen (automatisierten) Scannern die Grundlage, siehe z.B. auch https://en.wikipedia.org/wiki/Security_through_obscurity.

    Genau das selbe dachte ich mir auch.

    Wir haben 2 Server im Einsatz und beim einen gibt es täglich mehrere Tausend einlogg-Versuche,

    beim anderen sind es 0-1 wenn es hochkommt.


    Die ganzen Standard-Scripte zum durchlaufen sind auf Port 22 eingestellt und diejenigen die nicht ihren Port ändern, sind (in den meisten fällen) anfälliger für sowas.

  • Ich habe meinen SSH-Port auch verschoben. Es bringt zwar theoretisch keinen echten Zugewinn an Sicherheit, aber in der realen Welt ist es eben so, dass ein Gutteil der Angreifer einfach versucht sich über Port 22 anzumelden. Da sie damit schon reichlich potenzielle Opfer finden, begnügen sie sich damit. Selbst wenn das nur 50% der Angreifer so machen erhöht das schon die praktische Sicherheit meines Servers und entlastet ihn auch. Einfach weil weniger Anmeldeversuche auf dem geänderten Port stattfinden und die wesentlich zahlreicheren Versuche über Port 22 direkt von der Firewall abgewiesen werden können. Es ändert natürlich nicht die Chancen eines Angreifers, der sich auf meinen Server fokussiert und zunächst nach dem richtigen Port sucht. Hat er den Port einmal gefunden, dann hat er da die selben Chancen wie beim Defaultport. Also praktisch keine :).