Angriffe auf Server+Denyhosts

zero00 · 28. Februar 2011

[LEFT]Hi und zwar habe ich folgendes Problem:[/LEFT]

[LEFT]Auf meinem Server finden derzeit immer wieder Angriffe stat....
nun habe ich mich natürlich schon etwas belesen was ich dagegen machen könnte und bin auf Denyhosts gestoßen & habe dieses natürlich gleich installiert und eingerichtet ( Die meisten Angriffe sind auf ssh:root )[/LEFT]

[LEFT]Nun habe ich aber eingestellt das eine IP Adresse die 2x falsch geloggt wurde gleich gebannt wird also:[/LEFT]

[LEFT]root= 2x
users= 5x[/LEFT]

[LEFT]Leider ist es aber so das diese Einstellungen nicht immer greifen wie es scheint und wie ich es aus den logs lesen kann... [/LEFT]

[LEFT]Hier mal ein kleiner Auszug aus der Log file:
(IP Adresse habe ich unkentlich gemacht weil ich nicht weis wie deses rechtlich aussieht wenn ich diese öffentlich poste.)[/LEFT]

Zitat

[LEFT]Feb 27 19:55:01 v220110280624919 sshd[2858]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.105.xxx.xxx user=root
Feb 27 19:55:04 v220110280624919 sshd[2858]: Failed password for root from 113.105.xxx.xxx port 56250 ssh2
Feb 27 19:55:05 v220110280624919 sshd[4416]: error writing /proc/self/oom_adj: Permission denied
Feb 27 19:55:08 v220110280624919 sshd[4416]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.105.xxx.xxx user=root
Feb 27 19:55:09 v220110280624919 sshd[4416]: Failed password for root from 113.105.xxx.xxx port 58662 ssh2
Feb 27 19:55:10 v220110280624919 sshd[4831]: error writing /proc/self/oom_adj: Permission denied
Feb 27 19:55:13 v220110280624919 sshd[4831]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.105.xxx.xxx user=root
Feb 27 19:55:16 v220110280624919 sshd[4831]: Failed password for root from 113.105.xxx.xxx port 60554 ssh2
Feb 27 19:55:16 v220110280624919 sshd[4929]: error writing /proc/self/oom_adj: Permission denied
Feb 27 19:55:19 v220110280624919 sshd[4929]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.105.xxx.xxx user=root
Feb 27 19:55:20 v220110280624919 sshd[4929]: Failed password for root from 113.105.xxx.xxx port 34374 ssh2
Feb 27 19:55:21 v220110280624919 sshd[5011]: error writing /proc/self/oom_adj: Permission denied
Feb 27 19:55:24 v220110280624919 sshd[5011]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.105.xxx.xxx user=root
Feb 27 19:55:26 v220110280624919 sshd[5011]: Failed password for root from 113.105.xxx.xxx port 35858 ssh2
Feb 27 19:55:27 v220110280624919 sshd[5114]: error writing /proc/self/oom_adj: Permission denied
Feb 27 19:55:30 v220110280624919 sshd[5114]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.105.xxx.xxx user=root
Feb 27 19:55:32 v220110280624919 sshd[5114]: Failed password for root from 113.105.xxx.xxx port 37753 ssh2
Feb 27 19:55:33 v220110280624919 sshd[5231]: error writing /proc/self/oom_adj: Permission denied
Feb 27 19:55:35 v220110280624919 sshd[5231]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.105.xxx.xxx user=root
Feb 27 19:55:37 v220110280624919 sshd[5231]: Failed password for root from 113.105.xxx.xxx port 39647 ssh2
Feb 27 19:55:38 v220110280624919 sshd[5319]: error writing /proc/self/oom_adj: Permission denied
Feb 27 19:55:40 v220110280624919 sshd[5319]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.105.xxx.xxx user=root
Feb 27 19:55:42 v220110280624919 sshd[5319]: Failed password for root from 113.105.xxx.xxx port 41212 ssh2
Feb 27 19:55:43 v220110280624919 sshd[5493]: error writing /proc/self/oom_adj: Permission denied
Feb 27 19:55:43 v220110280624919 sshd[5493]: refused connect from 113.105.xxx.xxx (113.105.159.162)[/LEFT]

Alles anzeigen

Nach 9x wird erst die IP gespeert... und nachdem die Angriffe im Secunden Takt sind gehe ich davon aus das es sich um einen Brudforce Angriff handelt.

Nun meine Frage wie kann ich Denyhosts jetzt einstellen das er gleich nach dem 2x die IP des Angreifers blockt ?

Ja und ich weis das man den root login auch ausschalten kann, da ich aber viel mit WinSCP arbeite und ich nicht weis wie man sich dort umloggen kann brauche ich den root Zugang, bin eben doch noch ein Linux leihe...

Hoffe jemand kann mir helfen

mfg

slukas · 28. Februar 2011

denyhost überprüft auch nicht ständig.
in der config datei kannst du einstellen, wie lange die pausen zwischen dem scannen der log-files dauern sollen.

Code

DAEMON_SLEEP

hth

btw: alles fett zu schreiben ist nicht so toll

zero00 · 28. Februar 2011

Danke, aber was wäre hier ein angebrachter Wert ? Ich kann ja nicht jede sec. die log auslesen lassen oder ?

Bulli · 28. Februar 2011

Stelle doch den SSH Port um und benutze Key-Authentifizierung. Weiterhin kannst du den root-login verbieten und einen Benutzer festlegen der sich über ssh verbinden darf.

slukas · 28. Februar 2011

Zitat von zero00;31972

Danke, aber was wäre hier ein angebrachter Wert ? Ich kann ja nicht jede sec. die log auslesen lassen oder ?

nein, standardwert ist denke ich 30sek.

es hängt an der sicherheit deines root-passwortes.
ein sicheres passwort sollte sich innerhalb von 30sek (und ein paar ms für die auswertung der log-files) nicht knacken lassen.

ssh-port verlegen ist ja schön und gut, aber ab und an sitzt man in einem "fremden" netz aus dem man dann nicht auf den ssh-port kommt, weil eine fw. dynamic ports als zielports nicht zulässt.

ubuntu · 28. Februar 2011

Port 22 UNBEDINGT schliessen. Nur für die IP zuhause freigeben.