Hilfe werde ich Angegriffen?

  • Als ich so gerade was in meine eigene Cloud hochladen wollte die auf dem von Netcup gemieteten Root Server gehostet wird.

    Musste ich ein (Server ist nicht erreichbar) feststellen.

    Kurzerhand an den PC und mich per Putty eingeloggt.


    Werde ich hier gerade angegriffen?

    RootLogin ist vorsorglich deaktivert und der SSH Port geändert.

    Mein Apache2 ist auch nicht mehr erreichbar.

    Von außen kann ich mich auch nicht mehr als normaler User ins SSH einloggen.


    gERERG_G.jpg

  • Von außen kann ich mich auch nicht mehr als normaler User ins SSH einloggen.

    Wie bist du denn dann mit Putty aufs System gekommen?


    Mein Apache2 ist auch nicht mehr erreichbar.

    Und du hast ihn nicht deaktiviert? Dafür kann es auch ungefährliche Gründe geben.


    Werde ich hier gerade angegriffen?

    Man wird permanent angegriffen. Auf einer öffentlichen IPv4 in den Netcup Subnetzen ungefähr 1x pro Sekunde. Ich predige es andauernd, schön, dass mal jemand selber drauf aufmerksam wird.

    Bei den Logmeldungen hast du Glück, das sind all diejenigen Angriffe, die UFW blocken konnte. Die sind keine Gefahr. Die Frage ist: Hast du Ports in UFW vergessen? Das wäre denn gefährlich, und die werden nicht geloggt.


    Und über die eigentlichen Portscans hinaus gibt es natürlich auch Attacken auf die Applikationen, üblicherweise die Webseiten, PHP, etc. Schau mal in deine Apache Logs. Aber Vorsicht, die sehen noch deutlich dramatischer aus, als dein UFW Log, selbst wenn nichts passiert ist. Aber du musst unbedingt dafür sorgen, deine Systeme auch mit einer WAF abzusichern.

  • In dem Logauszug sieht man, dass anscheinend ein CRON job für den user www-data konfiguriert ist, der alle 5 Minuten ausgeführt wird. Das ist erstmal nicht ungewöhnlich. Ansonsten sieht man noch einen verteilten langsamen Portscan, den deine Firewall aber in dem Auszug komplett filtert. Auch das ist nicht ungewöhnlich für einen Computer, der mit dem Internet verbunden ist.

  • Ich habe mich über die VNC Console angemeldet. :)

    Den Root Zugang habe ich erst vorhin deaktiviert.

    Da war ich noch mit dem Putty eingeloggt.

    Da wurde sich versucht mit Root anzumelden ich schau mal eben nach den loggs.

  • Wie gesagt, gehe systematisch vor. Analysiere die Logfiles, schau dir an, was passiert ist. Vielleicht gibt es eine harmlose Erklärung, warum der Apache nicht mehr erreichbar ist.

    Und lass dir den Schreck als Warnung dienen, und nutze die Gelegenheit, dein System ordentlich abzusichern. Wie gesagt, eigentlich müsste da in etwa eine UFW Meldung pro Sekunde aufploppen, wenn alle Meldungen gefiltert werden.


    Ich hab mir eine Auswertung gebastelt, die meine Firewall-Regeln überwacht. Zur Info: Die angegeben Zahlenwerte repräsentieren die Anzahl der Attacken in einem 5-Minuten Fenster (Update-Intervall von Munin). 5 Minuten sind 300 Sekunden, und wenn ich die Anzahl der geblockten Pakete in der AVG Spalte zusammenzähle, komme ich auf mehr als 300. Also eine geblockte Attacke pro Sekunde, die meisten auf IPv4.


    pasted-from-clipboard.png

    "INPUT REJECTED" bzw. "FORWARD REJECTED" sind Pakete von erlaubten Adressen, die aber von der Firewall geblockt wurden, entweder direkt auf den Host (bei "INPUT") oder auf ein Netz dahinter (bei FORWARD).

    "DROPPED" sind Pakete, die von IPs auf der Blacklist kommen und direkt weggeblockt werden. Die Blacklist generiere ich mit aus den Listen einiger freier Dienste, auf denen "böse" IPs gesammelt werden.

    Das Ganze ist dann noch für IPv4 und IPv6 getrennt.


    Man erkennt, dass die Blacklisten das meiste rausfiltern. Aber ab und zu sieht man grüne Peaks, dann kommen Attacken von IPs, die nicht geblacklistet sind, aber trotzdem wild auf meine Firewall einprügeln.


    Interessant, das ganze auch mal über einen längeren Zeitraum zu betrachten:

    pasted-from-clipboard.png

    Im März war ich offensichtlich mal das Ziel einer IPv6 Attacke.

  • Am zweiten Logausschnitt sieht man, dass das Verlegen des SSH-Ports mittelfristig nichts bringt: Es dauert eine Weile, bis ein Slow Scan den Port entdeckt, aber sobald der gefunden und in den einschlägigen Datenbanken eingetragen ist, werden wieder wild Passwörter durchprobiert. Fail2Ban kann dann auch nicht viel mehr, als Buch darüber zu führen, welche IP-Adressen beteiligt waren. Wenn eine geblockt wird, kommt die nächste und macht weiter. Die Angreifer haben genug Zombies auf der ganzen Welt, um das Spiel ganz schön lange zu spielen.


    Wenn du kannst, solltest du die Firewall so einstellen, dass der SSH-Port nur aus Netzen erreichbar ist, die du wahrscheinlich verwenden wirst. Zur Not, wenn du dich damit selbst ausgesperrt hast, kommst du ja trotzdem über die VNC-Console auf den Server. Etwas fortgeschrittener wäre Port Knocking oder ein VPN, damit der SSH-Port gar nicht durch Scannen zu entdecken ist. Andererseits sind diese Logeinträge harmlos, weil sie ja gerade keine erfolgreichen Versuche sind.

  • Am zweiten Logausschnitt sieht man, dass das Verlegen des SSH-Ports mittelfristig nichts bringt: Es dauert eine Weile, bis ein Slow Scan den Port entdeckt, aber sobald der gefunden und in den einschlägigen Datenbanken eingetragen ist, werden wieder wild Passwörter durchprobiert. Fail2Ban kann dann auch nicht viel mehr, als Buch darüber zu führen, welche IP-Adressen beteiligt waren. Wenn eine geblockt wird, kommt die nächste und macht weiter. Die Angreifer haben genug Zombies auf der ganzen Welt, um das Spiel ganz schön lange zu spielen.


    Wenn du kannst, solltest du die Firewall so einstellen, dass der SSH-Port nur aus Netzen erreichbar ist, die du wahrscheinlich verwenden wirst. Zur Not, wenn du dich damit selbst ausgesperrt hast, kommst du ja trotzdem über die VNC-Console auf den Server. Etwas fortgeschrittener wäre Port Knocking oder ein VPN, damit der SSH-Port gar nicht durch Scannen zu entdecken ist. Andererseits sind diese Logeinträge harmlos, weil sie ja gerade keine erfolgreichen Versuche sind.

    Mein Problem ist jetzt das UFW nun auch meine IP Adresse blockt.

    So kann ich mich nun via Putty gar nicht mehr anmelden.

    Etwas nervig werd ich mir was überlegen müssen.

    Ich habe meine eigene IP erstmal wieder freigegeben in der UFW...

  • Mein Problem ist jetzt das UFW nun auch meine IP Adresse blockt.

    Gut, das kriegt man in den Griff. War es Fail2Ban? Oder hast du die Regeln generell zu stark ausgelegt?


    Ich empfehle für Blacklisten bei iptables das Tool ipset bzw. bei nftables die integrierten Filter. Die sind erheblich effizienter, als einzelne Regeln, und weniger anfällig für Bedienungsfehler.

  • Gut, das kriegt man in den Griff. War es Fail2Ban? Oder hast du die Regeln generell zu stark ausgelegt?


    Ich empfehle für Blacklisten bei iptables das Tool ipset bzw. bei nftables die integrierten Filter. Die sind erheblich effizienter, als einzelne Regeln, und weniger anfällig für Bedienungsfehler.

    Ich habe vermutlich die Regeln zu stark ausgelegt.

    Aber wie ich sehe habe ich alles richtig gemacht.

  • Am zweiten Logausschnitt sieht man, dass das Verlegen des SSH-Ports mittelfristig nichts bringt.

    Mein SSH-Port ist verlegt.

    Seit > 1/2 Jahr sind meine Logs leer.


    Grund: In der Firewall droppe ich und wenn eine IP einen Portscan durchführt, wird sie nach dem 3. falschen Port (Fehlversuch) mit fail2ban-ufw geblockt.


    Nach der SSH-Sicherheitslücke vor einigen Monaten fühle ich mich dadurch etwas sicherer.

    Null fail2ban-ssh-Einträge beruhigen mich.


    Sind allerdings auch rein privat genutzte Server/Dienste. Bei öffentlichen Diensten wäre das ufw-Portscan-Blocken etwas rigeros und dürfte zu Problemen führen.

  • Kleine Warnung: Das ist veraltete Information. Die aktuelle Firewall Technik in Linux heißt nftables und ipset ist damit Geschichte.

    Stimmt nicht so ganz. ;)


    nftables hat (auch) ein iptables Frontend, und gerade bei den IP Filterlisten gibt es in nftables in einigen großen LTS Distributionen noch Fehler (u.a. in Ubuntu 22.04), die die Benutzung praktisch unmöglich machen. Bei den Distris bleibt man besser auf ipset. Irgendwo hier im Forum hab ich das schon mal ausfüherlicher aufgedröselt, auch wie man Scripte für das Pflegen der Listen von ipset auf nftables umstellt.

  • In Ubuntu 24.04 ist aber standardmäßig nftables aktiv.

    Man kann dort zwar auch weiterhin iptables aufrufen, aber das ist dann nur noch ein Aufsatz für nftables, um die Kompatibilität sicherzustellen.

  • Die du nicht evtl. mit einem weiteren munin-Fan teilen möchtest? :)

    oder mehreren ;)

    Am zweiten Logausschnitt sieht man, dass das Verlegen des SSH-Ports mittelfristig nichts bringt:

    der 2te Ausschnitt war vom Datum her vor dem Ersten Ausschnitt, da war der Port noch nicht verlegt. ;)

    It's me, only me, pure michi 🦆

    RS 1000 SAS G8 | Cyber Quack | Vincent

    VPS: 50 G7 |B Ostern 2017|200 | Karneval

    WH: SmallEi | Adv17 Family |4000 SE|1000 SE