Bruteforce/DoS-Attacken

  • Servus liebe netcup-Gemeinde,


    ich bin mir nicht ganz sicher, ob ich der erste oder einzige bin, bei dem dieses unliebsame Phänomen auftritt, oder ob auch andere betroffen sind. Ich schildere mal grob den Tathergang:


    Sonntag, 6 März 2011: 6:59:35 - 21:18:32 UTC: Tausende Bruteforce-Attacken im Abstand von 0.2sek auf alle öffentlich verfügbaren Dienste meines Debian-vServers bei netcup von der IP eines gekaperten Servers aus Italien.
    Montag, 7 März 2011: 1:35:25 - 17:23:25 UTC: Bruteforce-Scan auf den SSHD von einem Server in HongKong
    Dienstag, 8. März 2011: 0:31:12 - 16:47:31 UTC: Bruteforce-Scan auf alle Dienste aus den USA
    ...
    bis Freitag, 11.03.2011: 2:28:11 UTC: Immer wieder wiederholte Bruteforce und Exploit-Scans auf meinen Server von diversen IPs aus Russland, China, Korea (ja, sogar ein Ägypter war dabei...) bis mir hier jetzt der Kragen platzte und ich kurzerhand komplette Class-A-Blöcke aus besagten Staaten auf die Firewall setzte.


    Aktuell ist Ruhe - alle Anfragen werden schon an der Firewall geblockt. Doch auf Dauer ist das natürlich wohl kaum eine Lösung.


    Ich wende mich deshalb mit einem Gesuch um einen klugen Rat an euch: was soll ich dagegen tun? Meine nächsten Schritte, die ich eigentlich meinte mir sparen zu können, wären dann fail2ban mit VCP-Script, Mail-Reporting der Auth-Aktivität und im schlimmsten Falle kompletten Block des SSH-Zugangs für alle außer ein paar statischen IPv6-IPs (die kann ich über einen anderen Server routen). Meine Passwörter und Accounts sind zwar entsprechend sicher gestaltet (root-Login ist komplett deaktiviert), dennoch fühle ich mich nicht wohl bei dem Gedanken, ins Bett zu gehen während andere Leute Scans auf meinen Server durchführen.


    Mit freundlichen Grüßen,
    Dominik Bayerl

  • Gewöhn dich daran, dass ist normales Hintergrundrauschen, welches du zwar im Auge behalten solltest, aber nicht weiter beachten musst.


    Was meist auch hilft ist das Verlegen des SSH Ports, da hierüber du dir schonmal so gut wie alle "bösen" Script Kiddies vom Hals hälst, dich ganze Blöcke scannen.


    Nun denn, deine Lösung nennt sich Denyhosts und SSH Publickey Auth ;)

  • Also generell kannste dir ja vorstellen scannen die alles, wo du dich einloggen kannst.


    SSH ist da ganz beliebt kombinationen aus Ts, Ts2, Teamspeak usw und irgendeinem Passwort sind bei mir gang und gebe, aber auch irgendwelche anderen logins. ...


    auf dem FtP sieht es nicht anders aus und beim Imap auch.


    Das einfachste ist den SSH port zu ändern und für noch mehr sicherheit einen Public key zu erstellen.
    Das habe ich z.B. ^^ dann ist Ruhe ...


    FtP usw. ist mir eigentlich relativ ....
    Ich habe sehr starke passwörter und gegen Bruteforce sollten die reichen ...


    auf jedenfall nicht Kombinationen alla Admin PW:12345 oder so ..., ist halt Bruteforce, wer sich auskennt weiß, dass die Listen benutzen auf denen eine Menge Wörter, Wort/zahlen Kombis bsp. 3R1945


    MfG

  • Na dann musst du dir ja keine Sorgen machen, diese Angriffe sind Gang und Gebe, du darfst dich bei denen Bedanken, die ihren Server nicht richtig abgesichert haben und gehackt wurden ;)


    Die VCP-Firewall hat wenn ich mich recht entsinne eine Max-Connections pro Sekunde (oder sowas in der Art) Einstellung, vllt könntest du damit durch die Firewall schon ein paar der Angriffe blocken lassen.


    Ein DoS ist aber noch etwas anderes, also in Zukunft damit vorsichtig sein ;)

  • Das mit dem Vcp klappt ned ... die connecten ja alle 5-10 minuten ...
    was hilft ist eine Denyhost einstellung ...


    Was mich einigermaßen befriedigt ist, dass ich über whois IP den Hoster ausfindig mache und dann denen einfach schreibe:


    Betreff : I Got Attacked from your Network
    Dann die Logs


    und ein nettef MfG


    Bei mir zeigte man sich stets kulant, dass man dem nachgehen würde usw.
    Egal ob aus Spanien oder Italien Griechenland is auch top dabei :D


    Naja und China hab ichs einfachmal gelassen :D am Ende wollen die das um meine E-mail zu klauen xD


    MfG

  • Nunja, es hat bei mir tatsächlich DoS-Charakter, alle 0.2s oder so kommt ein fehlerhafter Login-Versuch. Das matscht mir erstens die Leitung zu, zweitens lastet es meinen Memory aus, da er für die Login-Routine ja "verbraucht" wird.


    Ich werd jetzt einmal mal fail2ban für alle erreichbaren Services einbauen (SSH, FTP, IMAP, SMTP, HTTP)

  • Zitat von domibay;32574

    Nunja, es hat bei mir tatsächlich DoS-Charakter, alle 0.2s oder so kommt ein fehlerhafter Login-Versuch. Das matscht mir erstens die Leitung zu, zweitens lastet es meinen Memory aus, da er für die Login-Routine ja "verbraucht" wird.


    5 Zugriffe pro Sekunde lasten deinen Server und deine Bandbreite voll aus? :eek:
    Ein DoS hat dann doch andere Ausmaße :D

  • Noe, natuerlich hat der Server genug Kapazitaeten um die 5 Zugriffe pro Sekunde in den Griff zu bekommen. Dennoch zieht es mir Leistung ab, die ich gerne anders nutzen würde.


    -- schnipp --


    Ich hab jetzt fail2ban installiert, den SSH-Port umgelegt und einen honeypot platziert. Das funktioniert aktuell ganz gut, da die Anfragen meistens von einer relativ geringen Anzahl an IPs kamen.

  • Fail2ban läuft nicht, da der IPTables Netfilter nicht verfügbar ist.


    Ein Honeypot macht wenig Sinn, nur zusätzliche Ressourcen, die man anderweitig verwenden könnte -> Paranoid.