Moin,
ich schaue grad in mein auth.log, was meine chinesischen, rumänischen
und russischen Freunde so machen und sehe dass die wieder sehr aktiv
sind. Rund um die Uhr 24/7 ist mein Server den Brute Force Anriffen
ausgesetzt. Ist mir eigentlich völlig wumpe, da das Passwort eh viel zu
lang ist und ein Zertifikat benutzt wird. root Zugriff ist per se
abgeschaltet.
Ich habe fail2ban installiert, ein Python Sript und überlege ob das
alles so richtig ist? Leider nur ein Screenshot möglich, da Copy & Paste
auf dem ssh Fenster nicht funzt.
Ich würde eigentlich erwarten, dass für die angreifende IP 42.7.26.49
nach Ablauf der MaxRetries erstmal für 10 Minuten komplett Ende ist,
also kein Eintrag kommt. Aber die Zeitangaben sagen etwas anderes, das
geht im Sekundentakt so weiter. Nach Disconnecting geht es direkt
weiter.
MaxRetries bei ssh und fail2ban sind gleich 3 gesetzt, sind die
unterschiedlich gibt es eine Fehlermeldung von PAM.
Alles klar oder stimmt da was nicht?
iptables-Rules kannst du mit
> sudo iptables -L -v -n
anzeigen.
Sollte eine Chain "f2b-sshd" geben, da sind die geblockten SSH-Angreifer
drinnen. Und in "INPUT" in Sprung in diese chain.
Ich kenne mich mit dem anderen nicht aus und nachher sperre ich mich
noch selbst aus, alles schon dagewesen. Zudem habe ich den Fehler
gefunden, ein falsches Target, lag nicht auf auth.log. Habe ich
vermutlich verstellt. Klappt alles inzwischen, mit -1 ist eh Dauerban.
Ich hoffe zunächst, dass du das Ding nur privat benutzt.
Dass dir keine Möglichkeit einfällt, die log Datei als solche zu posten
zeugt leider schon von sehr wenig Erfahrung.
Allerdings will ich mal fail2ban recidive in den Raum werfen, damit
kannst du wiederkehrende Übeltäter länger blockieren.
Für weitere Infos wäre die aktive Konfiguration, als lesbare Datei, sehr
nützlich.
Ich habe auf meinem Fedora-basierten Server auch Fail2Ban benutzt.
Trotzdem, dass ich mir sehr Mühe gegeben habe, alles richtig zu
konfigurieren, hat es doch nicht sauber funktioniert. Ich habe dann was
anderes gemacht: ich habe den SSH-Port von 22 auf was anderes geändert.
Habe mir irgend einen der well-known Ports raus gesucht, den ich sicher
nie brauchen werde.
Das ist nun schon >1 Jahr her, und ich hab keinen einzigen
Angriffsversuch mehr in der auth.log und btmp. Diese Bots sind halt dumm
und versuchen es nur auf Port 22 ;-)
Tobias P. schrieb:> ich habe den SSH-Port von 22 auf was anderes geändert.> Habe mir irgend einen der well-known Ports raus gesucht, den ich sicher> nie brauchen werde.
Das ist alles schon passiert.... nach außen hat der Port eine Nummer
"mittendrin" aber das nützt dir auch nichts, da die Portscanner
verwenden, irgendwann haben sie dich. Bei einem 12 stelligen passwort
bzw Zertifikate Identifizierung eigentlich egal, aber es erzeugt halt
Traffic und müllt die Logs zu.
Chris J. schrieb:> Leider nur ein Screenshot möglich, da Copy & Paste> auf dem ssh Fenster nicht funzt.
Starte den mc mal so "mc -cd". Damit wird die Mausunterstützung
abgeschaltet und man kann normal kopieren.
temp schrieb:> Starte den mc mal so "mc -cd". Damit wird die Mausunterstützung> abgeschaltet und man kann normal kopieren.
Falls PuTTY: Beim Markieren einfach Shift gedrückt halten.
Stefan P. schrieb:> Falls PuTTY: Beim Markieren einfach Shift gedrückt halten.
Ja, Putty.. von Windows aus ging das nicht, unter Linux aber schon. auf
das ALIX Board kann ich nur per ssh zugreifen.
Chris J. schrieb:> Stefan P. schrieb:>> Falls PuTTY: Beim Markieren einfach Shift gedrückt halten.>> Ja, Putty.. von Windows aus ging das nicht, unter Linux aber schon. auf> das ALIX Board kann ich nur per ssh zugreifen. Leider auch nicht so prickelnd,
wenn man sich dass mal durch ein Update, was nicht läuft oder beim nächsten Booten
hängen bleibt zerschossen hat.
Spaßeshalber habe ich mir jetzt einmal die Auth-Logs eines ungenutzten
(!) Servers genommen, die IPs per Geoip aufgelöst, analysiert und
visualisiert (Elasticsearch + Kibana). In nur einem Monat gab es
(mithin: ohne "message repeated"-Einträge) sage und schreibe 247.000
Login-Versuche, Top 3:
77% China
9% USA
6% Südkorea
Gerade im Falle von China mit seiner berühmten "great firewall"
erscheint es mir unmöglich, daß soetwas ohne die Unterstützung oder
jedenfalls mit Wissen und Tolerierung durch staatliche Stellen
stattfindet. Zumal fast ein Fünftel (44.505) von den IPs
61.177.172.{10,22,40} kommt: diese gehören zum "jiangsu province
network" der staatlichen China Telecom.
Naja, eigentlich sollte mich das nicht überraschen. Aber etwas eh gewußt
zu haben ist eben doch noch was anderes als es bestätigt zu sehen. ;-)
> Ja, Putty.. von Windows aus ging das nicht, unter Linux aber schon. auf> das ALIX Board kann ich nur per ssh zugreifen. Leider auch nicht so> prickelnd, wenn man sich dass mal durch ein Update, was nicht läuft oder> beim nächsten Booten hängen bleibt zerschossen hat.
Wenn es keinen VGA hat, dann aber eine serielle Schnittstelle. Das ist
dann dein Terminal, falls du dich ausgesperrt hast.
Ansonsten kannst du auch die CF Karte, oder von was aus auch immer du
bootest, in einen anderen Rechner stecken und den Fehler in der
Konfiguration beheben.
Zum kopieren von Dateien bietet sich u.a. scp an - mit rsync oder
winscp, oder ...
Soeren K. schrieb:> Wenn es keinen VGA hat, dann aber eine serielle Schnittstelle. Das ist> dann dein Terminal, falls du dich ausgesperrt hast.>> Ansonsten kannst du auch die CF Karte, oder von was aus auch immer du> bootest, in einen anderen Rechner stecken und den Fehler in der> Konfiguration beheben.
Ich bin mit Linux schon recht gut vertraut, auch um einfache Skripte zu
schreiben und ein Netzwerk mit 3 Rechnern, wlan, ftp, telnet in Betrieb
zu nehmen.
Nur die Wahl dieses "Alix" Boards aus Preisgründen war ein Fehler (vor 4
Jahren). Klar kann ich da notfalls über die rs232 dran, die CF Card aber
kannste dir nur anschauen, mehr nicht. Wenn das Filesystem strubbelig
ist, wie neulich, ein paar verlorene Cluster, dann bleibt der erstmal
stehen beim booten ud zwar bevor er die eth aufgebaut hat. Und dann
fängste wieder an.... Monitor abstöpseln, Raspberry Pi aus der ecke
holen, FTDI Adapter usw. Das Board hat weder Monitor noch
Tastaturanschluss. Und gegen die heutigen Banana Pis auch keine echten
Nutzen mehr. Die Banane M3 ist inzwischen genauso fix wie der Celeron
und hat SATA.
Chris J. schrieb:> Ich bin mit Linux schon recht gut vertraut, auch um einfache Skripte zu> schreiben und ein Netzwerk mit 3 Rechnern, wlan, ftp, telnet in Betrieb> zu nehmen.
Was treibt einen im 21 Jahrhundert ein telnet zu betreiben? mal ehrlich
vielleicht kann man denn Client noch verwenden (zum Debuggen von
Netzwerken) aber sonst, dass Ding hatte seine Zeit, aber die war
irgendwann im letzten Jahrtausend.
Imonbln schrieb:> Was treibt einen im 21 Jahrhundert ein telnet zu betreiben?
Telnet ist deutlich mehr als "TCP->Terminal", das kann z.B. auch
Authentifizierung per Public-Key, verschlüsselte Verbindung usw.
IAC WILL ENCRYPT -> IAC DO ENCRYPT
usw.... https://tools.ietf.org/html/rfc2946 &co.
Nur: Kam viel zu spät, da waren dann schon alle (zurecht!) auf SSH
umgestiegen.
Telnet ist Spielerei an einem Spielrechner.
Aber apropos Spielerei :-) Gestern mal die Festplatten abgeklemmt,
fail2ban ausgeschaltet, root Zugang für ssh frei, Passwort: admin
Kaffee angemacht und logfile anschauen :-)
Es dauerte ca 2 Stunden, bis PAM meldere, dass der erste Gast drin war.
Die Schweinebacke änderte als erstes das Root Passwort, dann lief
vermutlich ein .sh Skript ab, was im root Verzeichnis diverse weitere
Dateien aus dem Netz holte. Da war plötzlich so einiges mehr vorhanden.
Dann gingen ihm leider die Lichter aus, weil ich die CF Karte aus dem
Slot zog und auf dem PC ihren Ursprungszustand wieder herstellte zudem
der Wixer mich als root ausgesperrt hatte.
Die Welt ist schlecht, einfach nur schlecht ;-)
Sheeva P. schrieb:> Gerade im Falle von China mit seiner berühmten "great firewall"> erscheint es mir unmöglich, daß soetwas ohne die Unterstützung oder> jedenfalls mit Wissen und Tolerierung durch staatliche Stellen> stattfindet. Zumal fast ein Fünftel (44.505) von den IPs> 61.177.172.{10,22,40} kommt: diese gehören zum "jiangsu province> network" der staatlichen China Telecom.
Das ist doch eine etwas gewagte Interpretation. Die "great firewall"
wird kaum jeglichen Verkehr ins Ausland unterbinden, die sperrt nur
konkrete Ziel-bereiche/-adressen.
Auch ist der Adressblock von "jiangsu province network" so wenig ein
Indiz für staatlich chinesische Hackerei, wie Adressen aus dem
Telekom-Bereich für deutsche Betrüger...
Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.
Wichtige Regeln - erst lesen, dann posten!
Groß- und Kleinschreibung verwenden
Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang