[debian linux/proftpd/sshd] Hoe dictionary attacks weren - Linux en overige clients

vrijdag 30 maart 2007 11:23

Acties:

Topicstarter

Hoi,

Iedere dag word ik lastig gevallen door mensen die het interessant vinden om dictionary attacks te plegen op mijn ssh en ftp server:

code:

Mar 29 19:25:10 mijnserver proftpd[25329]: mijnserver.xs4all.nl (85.17.45.13[85.17.45.13]) - USER Administrator: no such user found from 85.17.45.13 [85.17.45.13] to 90.90.90.90:21
Mar 29 19:25:10 mijnserver last message repeated 2 times
Mar 29 19:25:10 mijnserver proftpd[25329]: mijnserver.xs4all.nl (85.17.45.13[85.17.45.13]) - Maximum login attempts (3) exceeded
Mar 29 19:25:10 mijnserver proftpd[25330]: mijnserver.xs4all.nl (85.17.45.13[85.17.45.13]) - USER Administrator: no such user found from 85.17.45.13 [85.17.45.13] to 90.90.90.90:21
Mar 29 19:25:10 mijnserver last message repeated 2 times
Mar 29 19:25:10 mijnserver proftpd[25330]: mijnserver.xs4all.nl (85.17.45.13[85.17.45.13]) - Maximum login attempts (3) exceeded
Mar 29 19:25:10 mijnserver proftpd[25331]: mijnserver.xs4all.nl (85.17.45.13[85.17.45.13]) - USER Administrator: no such user found from 85.17.45.13 [85.17.45.13] to 90.90.90.90:21
Mar 29 19:25:10 mijnserver last message repeated 2 times
Mar 29 19:25:10 mijnserver proftpd[25331]: mijnserver.xs4all.nl (85.17.45.13[85.17.45.13]) - Maximum login attempts (3) exceeded
Mar 29 19:25:10 mijnserver proftpd[25332]: mijnserver.xs4all.nl (85.17.45.13[85.17.45.13]) - USER Administrator: no such user found from 85.17.45.13 [85.17.45.13] to 90.90.90.90:21
Mar 29 19:25:10 mijnserver last message repeated 2 times
Mar 29 19:25:10 mijnserver proftpd[25332]: mijnserver.xs4all.nl (85.17.45.13[85.17.45.13]) - Maximum login attempts (3) exceeded
Mar 29 19:25:10 mijnserver proftpd[25333]: mijnserver.xs4all.nl (85.17.45.13[85.17.45.13]) - USER Administrator: no such user found from 85.17.45.13 [85.17.45.13] to 90.90.90.90:21
Mar 29 19:25:10 mijnserver last message repeated 2 times
Mar 29 19:25:10 mijnserver proftpd[25333]: mijnserver.xs4all.nl (85.17.45.13[85.17.45.13]) - Maximum login attempts (3) exceeded
Mar 29 19:25:10 mijnserver proftpd[25334]: mijnserver.xs4all.nl (85.17.45.13[85.17.45.13]) - USER Administrator: no such user found from 85.17.45.13 [85.17.45.13] to 90.90.90.90:21
Mar 29 19:25:10 mijnserver last message repeated 2 times
Mar 29 19:25:10 mijnserver proftpd[25334]: mijnserver.xs4all.nl (85.17.45.13[85.17.45.13]) - Maximum login attempts (3) exceeded
Mar 29 19:25:10 mijnserver proftpd[25335]: mijnserver.xs4all.nl (85.17.45.13[85.17.45.13]) - USER Administrator: no such user found from 85.17.45.13 [85.17.45.13] to 90.90.90.90:21
Mar 29 19:25:10 mijnserver last message repeated 2 times
Mar 29 19:25:10 mijnserver proftpd[25335]: mijnserver.xs4all.nl (85.17.45.13[85.17.45.13]) - Maximum login attempts (3) exceeded
Mar 29 19:25:10 mijnserver proftpd[25336]: mijnserver.xs4all.nl (85.17.45.13[85.17.45.13]) - USER Administrator: no such user found from 85.17.45.13 [85.17.45.13] to 90.90.90.90:21
Mar 29 19:25:10 mijnserver last message repeated 2 times
Mar 29 19:25:10 mijnserver proftpd[25336]: mijnserver.xs4all.nl (85.17.45.13[85.17.45.13]) - Maximum login attempts (3) exceeded
Mar 29 19:25:10 mijnserver proftpd[25337]: mijnserver.xs4all.nl (85.17.45.13[85.17.45.13]) - USER Administrator: no such user found from 85.17.45.13 [85.17.45.13] to 90.90.90.90:21
Mar 29 19:25:10 mijnserver last message repeated 2 times

Bovenstaande gaat zo de hele nacht door, ook voor SSH geldt dit.

Kan ik het voorelkaar krijgen om deze IP-adressen individueel een tijdje te blokkeren?
Bestaat daar een programma voor? Of moet ik het zelf scripten?

vrijdag 30 maart 2007 11:29

Acties:

Erwinvz1

Ip adressen blokkeren via ip tables?
http://www.google.nl/sear...ock+ip+adress+linux&meta=

vrijdag 30 maart 2007 11:31

Acties:

not-known

[BI] Crewmember

Ik gebruik al een tijd BFD (Brute Force Detection) van http://www.rfxnetworks.com/bfd.php.
Dit ism APF (de firewall) zorgt ervoor dat je logfiles elke X minuten doorlopen worden en gescand op zulke attacks. De betreffende IP's worden vervolgens in de denylist van de firewall geplaatst waarna ze gebanned zijn.
Werkt vrij goed moet ik zeggen.

Officiëel bikkel'n in #bikkels
Campzone Veld C FieldAdmin
De Veld C site!

vrijdag 30 maart 2007 11:40

Acties:

Osiris

Voor SSH is 't wel handig om public key authentication te gebruiken volgens mij. OK, je kunt dan niet meer op elke willekeurige locatie met een willekeurige client op een willekeurige PC inloggen (of je moet je key bij je hebben op een USB-stick), maar 't is maar de vraag of 't aan de andere kant verstandig is om op zulke PC's je password in te tikken, keyloggers ofzo.

Met public key authentication (suffe naam eik, want je hebt ook een private key nodig

) valt er weinig meer te attacken met een dictionary, de attacker heeft dan je X-bits key te genereren en dat vind ie vast niet grappig.

vrijdag 30 maart 2007 11:56

Acties:

TrailBlazer

Karnemelk FTW

je kan in iptables. ook een max-syn optie meegeven. Bij meer dan zoveel syn pakketen van een bepaald ip wordt dat ip geblokkeerd.

vrijdag 30 maart 2007 11:59

Acties:

Sa1

met het programma denyhosts

die checkt je logs, blockt vervolgens aan de hand van een entry der in. standaard staat het al ingesteld voor ssh, werkt perfect als je op google zoekt kan je het ook zo instellen voor proftpd.

edit:

hij zet dan het ip in je hosts.deny

[ Voor 9% gewijzigd door Sa1 op 30-03-2007 11:59 ]

vrijdag 30 maart 2007 12:11

Acties:

Dr_Hell

Ik vind fail2ban wel fijn werken.

vrijdag 30 maart 2007 14:23

Acties:

Pim.

Aut viam inveniam, aut faciam

Je kan er ook voor kiezen om via iptables complete landen een ip ban te geven. Ik heb mijn eigen server " beveiligd" door landen als China, Singapore, Taiwan, Rusland en India te blokeren.

Ik ga er niet heen op vakantie en zij hebben niets op mijn server te zoeken

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME

vrijdag 30 maart 2007 14:36

Acties:

rvdven

Ik heb zelf ssh gewoon op een andere poort laten draaien, dat scheelt ook een hele hoop van zulk soort berichten.

vrijdag 30 maart 2007 14:48

Acties:

sariel

tsja, ik was altijd wel tevreden over denyhosts.....werkt lekker makkelijk: even configgen voor de juiste daemons en veel wordt netjes gebanned. kan (dacht ik) eventueel met remote servers worden gesynced zodat je vantevoren al een langer lijstje hebt.

Copy.com

vrijdag 30 maart 2007 15:22

Acties:

Verwijderd

Je zit bij xs4all.... ik neem aan dat je weet dat je ssh toegang hebt bij xs4all... Zo kun je bv. al ssh dicht zetten voor de hele wereld behalve bv. voor xs3.xs4all.nl. Zo kun je toch altijd naar je server ssh'en via xs3.xs4all.nl. Verder zet je ssh open voor de ip adressen die je nog meer als veilig acht, zoals werk en vrienden misschien.

Verder idd een intrution detection system installeren. Hiervoor zijn er genoeg gratis te krijgen.

Ik zou ftp helemaal dichtzetten als dit mogelijk is. Via scp (onder linux gewoon scp commando, onder windows heb je WinScp) kan je ook prima bestanden mee overpompen. ftp is zeer onveilig om open te hebben staan.

vrijdag 30 maart 2007 15:31

Acties:

Kanarie

תֹ֙הוּ֙ וָבֹ֔הוּ

denyhosts is wel aardig, maar alleen voor sshd

edit:
lekker laat

[ Voor 16% gewijzigd door Kanarie op 30-03-2007 15:32 ]

We're trapped in the belly of this horrible machine. And the machine is bleeding to death.

vrijdag 30 maart 2007 16:03

Acties:

MrBarBarian

Once

rvdven schreef op vrijdag 30 maart 2007 @ 14:36:
Ik heb zelf ssh gewoon op een andere poort laten draaien, dat scheelt ook een hele hoop van zulk soort berichten.

Security by obscurity is not an option (Neither an acual form of security)

Maarre.. wat maakt het eigelijk uit? je root-acces is uiteraard disabled.. een administrator-user bestaat uiteraard ook niet... (net als alle andere voor de hand liggende usernames)

ik wens ze altijd veel succes eigelijk..

[ Voor 27% gewijzigd door MrBarBarian op 30-03-2007 16:04 ]

iRacing Profiel

vrijdag 30 maart 2007 16:05

Acties:

Verwijderd

Maarre.. wat maakt het eigelijk uit? je root-acces is uiteraard disabled.. een administrator-user bestaat uiteraard ook niet... (net als alle andere voor de hand liggende usernames)

ik wens ze altijd veel succes eigelijk..

Uhhh...exploits misschien??

vrijdag 30 maart 2007 16:08

Acties:

Osiris

MrBarBarian schreef op vrijdag 30 maart 2007 @ 16:03:
[...]

ik wens ze altijd veel succes eigelijk..

Idd, zo denk ik d'r nu ook over... Eerder klopte ik die IP's nog wel eens handmatig in m'n router's Firewall in, maar tegenwoordig heb ik echt zoiets van: enige wat ze praktisch kúnnen vinden zijn toevallig usernames van daemons ofzo die verder niet enabled zijn voor SSH (sowieso niet wheel en sowieso account disabled) en áls ze dan tóch een useraccount vinden die zóu moeten werken, dan hebben ze een X-bit private key te cracken/verzinnen

Ga d'r echt geen moeite voor doen hoor..

Verwijderd schreef op vrijdag 30 maart 2007 @ 16:05:
[...]

Uhhh...exploits misschien??

Als ze een exploit zouden willen gebruiken, dan hadden ze dat echt wel gedaan hoor, dan gaan ze niet brute-forcen lijkt me.

[ Voor 17% gewijzigd door Osiris op 30-03-2007 16:09 ]

vrijdag 30 maart 2007 16:12

Acties:

MrBarBarian

Once

Verwijderd schreef op vrijdag 30 maart 2007 @ 16:05:
[...]

Uhhh...exploits misschien??

Exploits vind je niet door een dictionary attack.. En al helemaal niet dmv het gebruiken van de "administrator"-username

Als je bang bent voor exploids moet je je aandacht meer richting apache oid brengen ipv ssh

iRacing Profiel

vrijdag 30 maart 2007 16:14

Acties:

CyBeR

💩

MrBarBarian schreef op vrijdag 30 maart 2007 @ 16:03:
[...]
ik wens ze altijd veel succes eigelijk..

Idem. Zolang je geen makkelijke wachtwoorden gebruikt en PermitRootLogin uit hebt staan hoef je je niet echt heel erg veel zorgen te maken.

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 30 maart 2007 16:14

Acties:

Verwijderd

Als ze een exploit zouden willen gebruiken, dan hadden ze dat echt wel gedaan hoor, dan gaan ze niet brute-forcen lijkt me.

duhh.... lekker simpel gedacht natuurlijk... Als ze een ssh account gebruteforced (jaja lekker nederlands) hebben betekend dus dat ze evt. exploits kunnen uploaden en starten vanaf je server. Niet alle exploits draaien van een afstand he... er zijn er ook waarvoor je eerst server toegang voor nodig hebt, dus brute-forcen is dan vrij logisch.

Als je bang bent voor exploids moet je je aandacht meer richting apache oid brengen ipv ssh

Als je eenmaal binnen bent op een server dan kan je ALLES exploiten (de lekke services dan) niet alleen de services die voor het internet open staan.

Idem. Zolang je geen makkelijke wachtwoorden gebruikt en PermitRootLogin uit hebt staan hoef je je niet echt heel erg veel zorgen te maken.

Sorry hoor.. ik ben al jaren unix admin, en werk voor een grote isp.... iedereen die wat mij betreft zo denkt hoeft van mij niet aangenomen te worden.

Zorg er met deze instelling in ieder geval voor dat je het filesysteem, waar de home dirs van de users op staan, met de optie noexec mount... zo kunnen brutforce gekraakte accounts in ieder geval geen exploits executen op dit filesysteem (waarop ze dus schrijfrechten hebben met een gekraakt account). Zowiezo altijd /tmp met noexec mounten. Maar nogmaals, deze manier van beveiligen is beveiligen met een betonnen plaat voor je kop

[ Voor 34% gewijzigd door Verwijderd op 30-03-2007 16:21 ]

vrijdag 30 maart 2007 16:26

Acties:

MrBarBarian

Once

Verwijderd schreef op vrijdag 30 maart 2007 @ 16:14:

Als je eenmaal binnen bent op een server dan kan je ALLES exploiten (de lekke services dan) niet alleen de services die voor het internet open staan.

Ik heb nergens gezegt dat dat niet kan..

Wat ik wel zeg is dat bijv. apache veel kwetsbaarder is dan bijv ssh. Als Unix admin van een grote isp snap je nu natuurlijk direct waar ik op doel

Grappig overigens dan je over noexec mouten begint, terwijl je eerder zegt dat als iemand eenmaal binnen is, ze alles kunnen doen.. Dan kunnen ze dat noexec-bitje ook wel weghalen

iRacing Profiel

vrijdag 30 maart 2007 16:32

Acties:

Verwijderd

Wat ik wel zeg is dat bijv. apache veel kwetsbaarder is dan bijv ssh. Als Unix admin van een grote isp snap je nu natuurlijk direct waar ik op doel

Misschien snap ik waarop je doelt maar ben ik het niet eens met je omschrijving. Apache is vrijwel net zo secure als ssh. Tis alleen hoe je er verder mee omgaat. Er zijn genoeg php scripts te downloaden die buggy zijn en waarmee bv. code insertions gedaan kunnen worden. Dat da's dan geen exploit voor apache maar wel voor het php product wat je hebt draaien, daarom draai ik ook nooit apache zonder mod_security en openbasedir.

Grappig overigens dan je over noexec mouten begint, terwijl je eerder zegt dat als iemand eenmaal binnen is, ze alles kunnen doen.. Dan kunnen ze dat noexec-bitje ook wel weghalen

Ik heb nooit gezegd dat ze alles kunnen, ik heb gezegd dat ze dan de eventuele lekke services kunnen exploiten, en als ze eenmaal binnen zijn hebben ze in ieder geval toegang tot AL je services.

Als ze binnen zijn onder een gekraakt account hebben ze toch nog geen root access. Hoe wil je een noexec bitje weghalen als je geen root access hebt.... Hoe wil je root access krijgen als je geen exploit kunt executen?? Je maakt het een hacker verdomt moeilijk als ze op de writable filesystemen niet mogen executen. Een hacker binnen krijgen is nog geen ramp (tenminste als je niks te verbergen hebt), maar dan moet je er zeker voor zorgen dat ie geen root kan krijgen.

[ Voor 13% gewijzigd door Verwijderd op 30-03-2007 16:54 ]