Attack of niet belangrijk

Pagina: 1
Acties:

  • BSeB
  • Registratie: Juni 2001
  • Laatst online: 22-09-2025
Ik draai een server in mijn thuisnetwerk. Mijn router een linksys wrt54-GL heb ik geportmapped naar deze server alleen voor poort 22.

Nu ben ik met een ander probleem bezig voor mijn raid controller en nu zie ik het volgende in mijn "Message" log:
(Dit is een snapshot)

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
Aug  4 08:35:52 Hash sshd[7514]: Invalid user chang from 200.110.137.34
Aug  4 08:35:52 Hash sshd[7514]: error: PAM: User not known to the underlying authentication module for illegal user chang from theegg.com.ar
Aug  4 08:35:52 Hash sshd[7514]: Failed keyboard-interactive/pam for invalid user chang from 200.110.137.34 port 40011 ssh2
Aug  4 08:37:45 Hash sshd[7540]: Invalid user charles from 195.64.178.201
Aug  4 08:37:46 Hash sshd[7540]: error: PAM: User not known to the underlying authentication module for illegal user charles from vhosting01.botosani.net
Aug  4 08:37:46 Hash sshd[7540]: Failed keyboard-interactive/pam for invalid user charles from 195.64.178.201 port 38156 ssh2
Aug  4 08:40:28 Hash sshd[7565]: Invalid user charles from 193.219.58.190
Aug  4 08:40:28 Hash sshd[7565]: error: PAM: User not known to the underlying authentication module for illegal user charles from www.bchi.lt
Aug  4 08:40:28 Hash sshd[7565]: Failed keyboard-interactive/pam for invalid user charles from 193.219.58.190 port 60363 ssh2
Aug  4 08:41:23 Hash sshd[7579]: reverse mapping checking getaddrinfo for gw2.amrita.ac.in [121.243.61.82] failed - POSSIBLE BREAK-IN ATTEMPT!
Aug  4 08:41:23 Hash sshd[7579]: Invalid user charlene from 121.243.61.82
Aug  4 08:41:23 Hash sshd[7579]: error: PAM: User not known to the underlying authentication module for illegal user charlene from 121.243.61.82
Aug  4 08:41:23 Hash sshd[7579]: Failed keyboard-interactive/pam for invalid user charlene from 121.243.61.82 port 34204 ssh2
Aug  4 08:41:29 Hash sshd[7585]: Invalid user charles from 200.102.253.14
Aug  4 08:41:30 Hash sshd[7585]: error: PAM: User not known to the underlying authentication module for illegal user charles from ficus.cray.com.br
Aug  4 08:41:30 Hash sshd[7585]: Failed keyboard-interactive/pam for invalid user charles from 200.102.253.14 port 42855 ssh2
Aug  4 08:43:46 Hash sshd[7606]: Invalid user charlie from 140.128.182.2
Aug  4 08:43:46 Hash sshd[7606]: error: PAM: User not known to the underlying authentication module for illegal user charlie from mail.jdes.tc.edu.tw
Aug  4 08:43:46 Hash sshd[7606]: Failed keyboard-interactive/pam for invalid user charlie from 140.128.182.2 port 33871 ssh2


Moet ik hiervan "bang" worden, of een iptables op mijn interne netwerk draaien of ....

  • Orion84
  • Registratie: April 2002
  • Laatst online: 27-02 13:27

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Tsja, als je een publiek beschikbare SSH server draait, dan zal die vroeg of laat ontdekt worden door een of andere worm of zo die scant naar SSH servers, een woordenboek aan users en passwords probeert en indien succesvol zichzelf voortplant en anders gewoon weer verder gaat naar de volgende server.

Ik zie dit soort logs ook regelmatig langskomen. Zo lang je fatsoenlijke wachtwoorden gebruikt is er weinig aan de hand. Eventueel kan je een of ander tooltje draaien dat bij een te groot aantal incorrecte logins een IP blokkeert of iets dergelijks. Zelf gebruik ik daar fail2ban voor (@ debian), waardoor je logs in elk geval minder vollopen.
Al valt me hier op dat er steeds verschillende IP's worden gebruikt, dus dan is dat wellicht al weer minder nuttig.

[ Voor 8% gewijzigd door Orion84 op 04-08-2010 13:55 ]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr


  • enveekaa
  • Registratie: September 2003
  • Laatst online: 11:35
Ziet er uit als een bruteforce, niet echt spannend.

  • nielsl
  • Registratie: Januari 2006
  • Laatst online: 24-02 18:43
Als je altijd maar vanaf een X aantal ipadressen inlogt op die server, dan kun je die definieren in je IP tables en alle andere ipadressen blokkeren.

Daarnaast kun je SSH op een andere poort laten draaien dan 22, dat maakt je al een stuk minder zichtbaar. Laat onverlet dat deze laatste een gevalletje "security through obscurity" is.

Veiligste lijkt me dan nog om bijvoorbeeld iets als openvpn te gebruiken op je servertje om een tunnel te bouwen naar je server. Vervolgens kun je lekker SSH'en over die tunnel en bestaat SSH niet eens voor de buitenwereld.

  • BSeB
  • Registratie: Juni 2001
  • Laatst online: 22-09-2025
Ah, oke, in ieder geval dus goed om in de gaten te houden en wellicht restricties te gebruiken.
(En het wachtwoord nog maar is te checken).

  • Orion84
  • Registratie: April 2002
  • Laatst online: 27-02 13:27

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Of gaan werken met key files in plaats van wachtwoorden.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr


  • Sendy
  • Registratie: September 2001
  • Niet online
De dictionary attack was bij CH. Als je een moeilijk password heb hoef je je geen zorgen te maken.
edit:

Blaat

[ Voor 10% gewijzigd door Sendy op 04-08-2010 14:06 ]


  • u_nix_we_all
  • Registratie: Augustus 2002
  • Niet online
Sendy schreef op woensdag 04 augustus 2010 @ 14:05:
De dictionary attack was bij CH. Als je een moeilijk password heb hoef je je geen zorgen te maken.
Als je een beetje ongebruikelijke usernaam hebt, raden ze die al niet eens >:)
Zorg er wel voor dat je geen root logins over ssh toestaat, dat is sowieso een goed idee.

You don't need a parachute to go skydiving. You need a parachute to go skydiving twice.


  • BSeB
  • Registratie: Juni 2001
  • Laatst online: 22-09-2025
u_nix_we_all schreef op woensdag 04 augustus 2010 @ 14:11:
[...]

Als je een beetje ongebruikelijke usernaam hebt, raden ze die al niet eens >:)
Zorg er wel voor dat je geen root logins over ssh toestaat, dat is sowieso een goed idee.
Meteen maar even uitgezet idd. Good advice!

  • Sendy
  • Registratie: September 2001
  • Niet online
Ja, "chappy" lijkt een goede username... ;)

[ Voor 3% gewijzigd door Sendy op 04-08-2010 14:27 ]


  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 26-02 18:42

Kabouterplop01

chown -R me base:all

Of je maakt een entry aan in je hosts.allow file, ik neem aan dat je niet over de hele wereld probeert in te loggen.

  • BSeB
  • Registratie: Juni 2001
  • Laatst online: 22-09-2025
Niet altijd nee, ik zou het kunnen limiteren door de plaatsen waar ik vaak ben en alleen in het geval van vakantie de file kunnen uitzetten.

  • Exorcist
  • Registratie: Maart 2002
  • Niet online

Exorcist

Uitdrijvûrrrr!

Of na 5x foute inlog van 1 IP het IP blokkeren.

  • Sendy
  • Registratie: September 2001
  • Niet online
Of port knocking

[ Voor 62% gewijzigd door Sendy op 04-08-2010 15:54 ]


  • u_nix_we_all
  • Registratie: Augustus 2002
  • Niet online
Exorcist schreef op woensdag 04 augustus 2010 @ 15:25:
Of na 5x foute inlog van 1 IP het IP blokkeren.
Zo te zien komt de brute-force van een botnet, dus steeds een ander IP-tje. Levert dus relatief weinig op, en kost wel wat resources.

You don't need a parachute to go skydiving. You need a parachute to go skydiving twice.

Pagina: 1