Toon posts:

Poging inbraak via ssh

Pagina: 1
Acties:

donderdag 16 augustus 2012 21:56

Acties:
  • Jerrywtx
  • Registratie: Mei 2009
  • Laatst online: 24-02 12:06

Jerrywtx

Topicstarter
Dag,

Voor de hobby heb ik een tijd geleden van mijn oude pc een Ubuntu Server gemaakt die lekker staat te draaien in de kelder. Op de server draait oa vsftpd en SSH.

Voor de lol ging ik vandaag is kijken in de logfiles en ik ben daar eigenlijk een beetje van geschrokken. Eerst zag ik in de log van de ftp server dat er een aantal maal was geprobeerd in te loggen. Aangezien binnen een zeer korte tijd (seconden tot een minuut) diverse standaard users werden ingevoerd leek het mij niet meer dan iemand die ergens een tooltje heeft draaien, scant op poorten vervolgens wat probeert en weer verder gaat. het IP adres bleek uit de Oekraine te komen maar goed...

Toen ik ik in de log ging kijken van de SSH werd ik wel wat nerveus. Eerst zag ik zo`n beetje hetzelfde af en toe zag ik een www adres van een bestaande site..?? Maar toen begon het.. Omstreeks 12.20 uur begon een ip adres uit china met dennis..., willem, henk en ga maar door. Om 15.30 uur zag de persoon (of tool) er maar vanaf. Ik heb zo`n beetje iedere naam wel voorbij zien komen. Gelukkig zonder succes want ondanks ik een amateurtje ben heb ik wel goed nagedacht over username en wachtwoord.

Mijn vraag is moet ik hier wat mee? Heeft het zin als ik dit doorgeef aan mijn provider of moet ik er misschien mee naar de politie? Zijn er verder nog zaken waar ik aan moet denken? Moet ik de standaard poorten dichtzetten en andere herleiden naar de interne juiste poort. heeft dat zin of worden alle poorten gescand?

Groeten,
Jeroen

donderdag 16 augustus 2012 22:01

Acties:
  • Koenvh
  • Registratie: December 2011
  • Laatst online: 02-12 18:34

Koenvh

Hier tekenen: ______

Misschien IP's buiten NL/BE/EU blokkeren?
Politie e.d. heeft geen zin.

[ Voor 26% gewijzigd door Koenvh op 16-08-2012 22:02 ]

🠕 This side up

donderdag 16 augustus 2012 22:07

Acties:
  • RomeoJ
  • Registratie: Mei 2003
  • Niet online

RomeoJ

Matched: (.*)

DIt komt helaas vaak voor. Het gemakkelijkste wat je kan doen is services (zeker SSH) op een andere poort draaien, daarnaast kan je ook SFTP gebruiken in plaats van het onveilige FTP protocol.

Mocht je meer security willen dan kan je kijken naar bijvoorbeeld fail2ban (zo heb je talloze andere tools). Daarnaast kan je instellen dat je met SSH inlogt met een public/private key in plaats van username/wachtwoord. Zo zijn er nog een tal van andere voorbeelden te geven om je server beter te beveiligen.

You only need two tools in life: WD-40 and Duct-Tape, if it doesn't move and it should, use the WD-40. If it does move and it shouldn't, use the Tape.

donderdag 16 augustus 2012 22:07

Acties:
  • DukeBox
  • Registratie: April 2000
  • Laatst online: 12:19

DukeBox

loves wheat smoothies

Ik zou zo snel mogelijk naar de politie gaan.. blijkbaar hebben ze jou als enige op heel internet uitgezocht om te hacken ;)

Duct tape can't fix stupid, but it can muffle the sound.

donderdag 16 augustus 2012 22:08

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Internetruis. Negeren.

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 16 augustus 2012 22:12

Acties:
  • DRaakje
  • Registratie: Februari 2000
  • Niet online

DRaakje

inderdaad, niet druk om maken, en gewoon op andere poorten deze services laten draaien.

donderdag 16 augustus 2012 22:16

Acties:
  • Jerrywtx
  • Registratie: Mei 2009
  • Laatst online: 24-02 12:06

Jerrywtx

Topicstarter
Niet verwacht zo snel reacties te zien. Ik ga idd de externe poorten omgooien.
Heel grappig Dukebox.... Nee ik dacht echt dat ik de enige ben met riolering en internet ;)

Bedankt voor de reacties!

donderdag 16 augustus 2012 22:16

Acties:
  • FatalError
  • Registratie: Juni 1999
  • Laatst online: 02-12 22:06

FatalError

Zet in ieder geval PermitRootLogin op No in /etc/ssh/sshd_config.
Login via een normale gebruiker en ga evt met su(do) naar een andere user.
Verder is dit helaas erg normaal en kan je het in principe negeren.

[ Voor 19% gewijzigd door FatalError op 16-08-2012 22:16 ]

If it ain't broken, tweak it!

donderdag 16 augustus 2012 22:19

Acties:
  • Matis
  • Registratie: Januari 2007
  • Laatst online: 02-12 08:10

Matis

Rubber Rocket

FatalError schreef op donderdag 16 augustus 2012 @ 22:16:
Zet in ieder geval PermitRootLogin op No in /etc/ssh/sshd_config.
Login via een normale gebruiker en ga evt met su(do) naar een andere user.
Verder is dit helaas erg normaal en kan je het in principe negeren.
In Ubuntu kun je per default niet inloggen als root.

@TS; Je wilt niet weten wat voor "pogingen tot" ik dagelijks op zowel mijn router/modem als server binnen krijg. Prijs jezelf gelukkig dat ze niet binnenkomen :)

Edit; Mijn logfiles
cat /var/log/auth.log|grep "Invalid user" | wc
    217    2170   17332
cat /var/log/auth.log|grep "POSSIBLE BREAK-IN ATTEMPT" | wc
   1405   24191  232917

En dat per 12 augustus 2012 :)

[ Voor 17% gewijzigd door Matis op 16-08-2012 22:24 ]

If money talks then I'm a mime
If time is money then I'm out of time

donderdag 16 augustus 2012 22:24

Acties:
  • Gomez12
  • Registratie: Maart 2001
  • Laatst online: 17-10-2023

Gomez12

Wat ik doe is simpelweg whitelisting.

FTP mag niemand op behalve een stuk of 25 ip's.
SSH mogen maar 3 ip's op.
Voor de rest alles dicht.

Behalve VPN, die mag overal in NL. En die heeft een crontab lopen dat als er een bestand x op locatie y met inhoud z verschijnt dat dan de VPN voor de hele wereld opengaat (backdoor voor als ik plots op reis moet oid)

Je moet je gewoon afvragen vanaf waar wil je redelijkerwijs verbinding kunnen maken. Wil je vanuit Rusland / Oekraine / China gaan ssh'en naar jouw server? Of ssh je eigenlijk alleen maar vanuit huis?

donderdag 16 augustus 2012 22:37

Acties:
  • Aganim
  • Registratie: Oktober 2006
  • Laatst online: 12:41

Aganim

I have a cunning plan..

Er zijn diverse oplossingen mogelijk. Zoals aangegeven: SSH naar een niet-default port en whitelisting helpt al een hoop.

Waar je ook nog naar kan kijken zijn dingen als fail2ban of ConfigServer Security & Firewall (CSF). Dit laatste draaien wij op onze servers, krachtig pakket. Wellicht leuk om eens uit te proberen.

vrijdag 17 augustus 2012 10:18

Acties:
  • RomeoJ
  • Registratie: Mei 2003
  • Niet online

RomeoJ

Matched: (.*)

Ik heb een tijdje de knockd server gedraaid. De reden waarom ik dat nu niet meer doe is omdat het een vrij ingewikkeld proces is als je de server vanaf elke locatie wil benaderen.

Knockd is een server die luistert op bepaalde poorten voor een ingestelde 'knock' sequentie. Je kan bijvoorbeeld instellen dat je 3x om de 200ms op de ingestelde poort 'knocked' om zo de SSHd poort alleen voor het IP-adres van degene die de knock uitgevoerd heeft open te zetten voor bepaalde tijd.

Was een zeer veilige methode, echter wel vrij complex. Ik heb nu alleen de SSHd poort gewijzigd, fail2ban geïnstalleerd en hier mijn stats:

cat /var/log/secure* | grep "invalid user" | wc -l
0

Voor mij is dit al voldoende veilig, geen ingewikkelde knockd methodes meer voor mij. :)


@hieronder:
Keypunchie schreef op vrijdag 17 augustus 2012 @ 11:40:
Een andere optie is fail2ban.
No shit, dat is hier al tig keer genoemd...

[ Voor 14% gewijzigd door RomeoJ op 17-08-2012 13:34 ]

You only need two tools in life: WD-40 and Duct-Tape, if it doesn't move and it should, use the WD-40. If it does move and it shouldn't, use the Tape.

vrijdag 17 augustus 2012 10:20

Acties:
  • LiquidSmoke
  • Registratie: Maart 2001
  • Laatst online: 30-11 09:11

LiquidSmoke

Kijk ook eens naar denyhosts; draai ik zelf en bij 5 foute inlogpogingen wordt het ip geblokkeerd; uiteraard ook whitelists/blacklists etc.

vrijdag 17 augustus 2012 11:40

Acties:
  • Keypunchie
  • Registratie: November 2002
  • Niet online

Keypunchie

Een andere optie is fail2ban. (Gewoon binnen te halen met apt-get, als ik het goed herinner). Dat werkt net iets makkelijker dan denyhosts, vind ik zelf. Als een ip-adres een paar keer verkeerd inlogt, kun je hem voor een tijdje bannen. Op die manier gaat brute force niet werken.

Er zitten default filters voor ftp en ssh in, maar je kunt elke dienst toevoegen.

[ Voor 21% gewijzigd door Keypunchie op 17-08-2012 11:43 ]

maandag 20 augustus 2012 20:55

Acties:
  • Jerrywtx
  • Registratie: Mei 2009
  • Laatst online: 24-02 12:06

Jerrywtx

Topicstarter
Het klopt dat je standaard niet op root kunt inloggen via SSH. Je moet dat aan zetten/maken
Ik heb overigens een andere poort beschikbaar gesteld ( dus geen 22 en 21) en nu zie ik dat er niet meer geprobeerd wordt in te loggen.

Ik vermoed dat meeste kwaadwillenden alleen een standaard poortenscan doet en dan pas iets gaan proberen. De man/vrouw achter het chinese ip adres heeft echter daar wel 2 uur de tijd voorgenomen.

Fail2ban is een goed idee. Ga ik gelijk ff doen

maandag 20 augustus 2012 22:07

Acties:
  • bartbh
  • Registratie: Maart 2004
  • Niet online

bartbh

Jerrywtx schreef op maandag 20 augustus 2012 @ 20:55:
Het klopt dat je standaard niet op root kunt inloggen via SSH. Je moet dat aan zetten/maken
Ik heb overigens een andere poort beschikbaar gesteld ( dus geen 22 en 21) en nu zie ik dat er niet meer geprobeerd wordt in te loggen.

Ik vermoed dat meeste kwaadwillenden alleen een standaard poortenscan doet en dan pas iets gaan proberen. De man/vrouw achter het chinese ip adres heeft echter daar wel 2 uur de tijd voorgenomen.

Fail2ban is een goed idee. Ga ik gelijk ff doen
Daar heeft "hij/zij" echt zelf de tijd niet voor genomen hoor, daar hebben ze wel bots voor draaien die gewoon zo lang mogelijk op de deur blijven kloppen totdat de deur "niet meer bestaat".

dinsdag 21 augustus 2012 08:19

Acties:
  • zenith
  • Registratie: Juni 2001
  • Niet online

zenith

Jerrywtx schreef op donderdag 16 augustus 2012 @ 21:56:
Dag,

Voor de hobby heb ik een tijd geleden van mijn oude pc een Ubuntu Server gemaakt die lekker staat te draaien in de kelder. Op de server draait oa vsftpd en SSH.

Voor de lol ging ik vandaag is kijken in de logfiles en ik ben daar eigenlijk een beetje van geschrokken. Eerst zag ik in de log van de ftp server dat er een aantal maal was geprobeerd in te loggen. Aangezien binnen een zeer korte tijd (seconden tot een minuut) diverse standaard users werden ingevoerd leek het mij niet meer dan iemand die ergens een tooltje heeft draaien, scant op poorten vervolgens wat probeert en weer verder gaat. het IP adres bleek uit de Oekraine te komen maar goed...

Toen ik ik in de log ging kijken van de SSH werd ik wel wat nerveus. Eerst zag ik zo`n beetje hetzelfde af en toe zag ik een www adres van een bestaande site..?? Maar toen begon het.. Omstreeks 12.20 uur begon een ip adres uit china met dennis..., willem, henk en ga maar door. Om 15.30 uur zag de persoon (of tool) er maar vanaf. Ik heb zo`n beetje iedere naam wel voorbij zien komen. Gelukkig zonder succes want ondanks ik een amateurtje ben heb ik wel goed nagedacht over username en wachtwoord.

Mijn vraag is moet ik hier wat mee? Heeft het zin als ik dit doorgeef aan mijn provider of moet ik er misschien mee naar de politie? Zijn er verder nog zaken waar ik aan moet denken? Moet ik de standaard poorten dichtzetten en andere herleiden naar de interne juiste poort. heeft dat zin of worden alle poorten gescand?

Groeten,
Jeroen
Welkom op internet? Dit is vrij standaard hedendaags. Misschien eens iptables optuigen? Je wilt nu aangifte doen van het feit dat je voordeur openstaat en er mensen willen binnenlopen?

dinsdag 21 augustus 2012 09:08

Acties:
  • Onoffon
  • Registratie: April 2006
  • Laatst online: 02-12 23:10

Onoffon

zenith schreef op dinsdag 21 augustus 2012 @ 08:19:
[...]


Welkom op internet? Dit is vrij standaard hedendaags. Misschien eens iptables optuigen? Je wilt nu aangifte doen van het feit dat je voordeur openstaat en er mensen willen binnenlopen?
Nee, de voordeur is gewoon op slot maar mensen proberen verschillende soorten sleutels om te kijken of het past.

Dat lijkt mij een betere vergelijking.

Just a simple thought....

dinsdag 21 augustus 2012 09:26

Acties:
  • LinuX-TUX
  • Registratie: December 2003
  • Laatst online: 01-12 12:00

LinuX-TUX

Zoals eerder is gemeld, het is ruis en komt nu eenmaal voor. Ik zelf heb vroeger ook fail2ban achtige tools gebruikt maar ben op een gegeven moment toch over gegaan op van extern port ##### > intern port 22.

De standaard portranges worden meestal afgelopen en stoppen rond de 2000 (en 8080 dan ook).

Ik merkte namelijk dat er gewoon zo nu en dan golven waren waar er gewoon 60 tot 80 kb/s aan inlog requests aankwamen, continu, wat dan echt een half uur aan bleef houden (van allemaal verschillende addressen) en dan opeens stopte het.

Hier werd ik gek van en dat heeft me laten bewegen om idd zo'n "van port naar port" forward in te stellen. (samen met de paranoia van de matrix) Tegenwoordig met 24Mbit kan ik weer overwegen om alles standaard te draaien ... maar ik vind het wel rustig zo en m'n logs puilen ook niet meer uit :Y)

[ Voor 6% gewijzigd door LinuX-TUX op 21-08-2012 09:29 ]

dinsdag 21 augustus 2012 21:55

Acties:

Verwijderd

Of login d.m.v. een private key. Daardoor hebben brute-force attacks geen effect meer. Wel even password authentication uitzetten in je ssh config file. Guide o.a. hier te vinden:
http://library.linode.com...h-key-pair-authentication

Succes!

dinsdag 21 augustus 2012 22:00

Acties:

Verwijderd

Gewoon zorgen dat inloggen met zwakke wachtwoorden niet mogelijk is. Dat kan op 60.000 manieren.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq