Toon posts:

Ssh brute-force attacks.

Pagina: 1
Acties:

maandag 3 maart 2014 23:11

Acties:
  • 0Henk 'm!

Anoniem: 408263

Topicstarter
Heb sinds een paar dagen een vps draaien met Centos 6.4/DirectAdmin/. Ik had m geinstalleerd ter vervanging van meerdere shared hosting paketten die ik meer dan zat was=D.

Eigenlijk vrijwel direct na het installeren van de server viel het me op dat er eigenlijk constant ssh brute force attempts worden uitgevoerd, allemaal onsuccesvol gelukkig. Het is verder niet een hele hoop, ik schat zo'n 100 attempts per dag. Ik heb echter ooit eerder thuis een server gedraait. Ik kan mij niet herineren dat ik uberhaubt ooit ben lastig gevallen door deze aanvallen.

Mijn vraag daarom. Is het normaal heden dag dat je de hele dag aangevallen wordt door dit soort addergebroed? Of heb ik een serieus probleem, en moet ik hier zo snel mogelijk iets aan doen?

Ik heb al wel fail2ban geinstalleerd, dit zodat het ip in kwestie na een 50 tal attempts wordt gebanned. Ze lijken echter net zo gemakkelijk aan een nieuw ip adres te komen:p

Alvast bedankt!

maandag 3 maart 2014 23:16

Acties:
  • 0Henk 'm!
  • AW_Bos
  • Registratie: April 2002
  • Laatst online: 02:24

AW_Bos

Liefhebber van nostalgie... 🕰️

Gewoon na 10 inlogpogingen de boel direct bannen, en verder is dit het gesprek van de dag.
Als je het echt zat bent kan je proberen om SSH via een andere poort te draaien, maar als je veilig genoeg bent en:

Permit Root op no hebt staan, een zeer veilige user en pass hebt en bij voorkeur Login Keys...

dan zit je helemaal goed.

[Voor 32% gewijzigd door AW_Bos op 03-03-2014 23:17]

☀️ Goedemorgen zonneschijn! ☀️
☀️Ja, je maakt me zo gelukkig, en door jou voel ik me fijn! ☀️

maandag 3 maart 2014 23:21

Acties:
  • 0Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Ja, dat is normaal.

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 3 maart 2014 23:23

Acties:
  • 0Henk 'm!

Anoniem: 408263

Topicstarter
Alright, dat zal ik zeker doen. En ik heb idd al sterke wachtwoorden gekozen, permit root staat idd op no. Alle users waarmee mogelijk root access te verkrijgen is hebben een 32 char wachtwoord.

edit: Ik zal trouwens ook zeker is naar die login keys kijken, klinkt interessant.

[Voor 18% gewijzigd door Anoniem: 408263 op 03-03-2014 23:23]

maandag 3 maart 2014 23:23

Acties:
  • 0Henk 'm!
  • base_
  • Registratie: April 2003
  • Laatst online: 15:49

base_

Zijn diverse tooltjes zoals http://www.sshguard.net/ voor

maandag 3 maart 2014 23:23

Acties:
  • 0Henk 'm!
  • Bloemstukje
  • Registratie: December 2008
  • Laatst online: 14:37

Bloemstukje

Mag ik, als network noob vergeleken bij dit, vragen wat dit voor attacks zijn? Zijn dit echt hackers/geautomatiseerde hackers die proberen in te breken?

gewoon nee.

maandag 3 maart 2014 23:23

Acties:
  • 0Henk 'm!
  • base_
  • Registratie: April 2003
  • Laatst online: 15:49

base_

nee zijn eerder virussen en bots, geen hackers die eindeloos passwords invullen.

[Voor 42% gewijzigd door base_ op 03-03-2014 23:24]

maandag 3 maart 2014 23:24

Acties:
  • +1Henk 'm!
  • ItsValium
  • Registratie: Juni 2009
  • Laatst online: 31-05 10:27

ItsValium

Gewoon fail2ban veel scherper instellen, 10 inlogpogingen of zelfs maar 5. Of nog beter SSH toegang van buitenaf volledig afschermen en enkel via vpn toegankelijk maken.

En ja dit is normaal, tegenwoordig ontkom je er niet meer aan ...

maandag 3 maart 2014 23:25

Acties:
  • 0Henk 'm!
  • Bloemstukje
  • Registratie: December 2008
  • Laatst online: 14:37

Bloemstukje

base_ schreef op maandag 03 maart 2014 @ 23:23:
nee zijn eerder virussen en bots, geen hackers die eindeloos passwords invullen.
Aha, dus dat zijn geïnfecteerde computers van onwetenden die misbruikt worden om dit soort attacks te automatiseren in de hoop dat er ééntje breekt?

gewoon nee.

maandag 3 maart 2014 23:25

Acties:
  • 0Henk 'm!

Anoniem: 408263

Topicstarter
ItsValium schreef op maandag 03 maart 2014 @ 23:24:
Gewoon fail2ban veel scherper instellen, 10 inlogpogingen of zelfs maar 5. Of nog beter SSH toegang van buitenaf volledig afschermen en enkel via vpn toegankelijk maken.

En ja dit is normaal, tegenwoordig ontkom je er niet meer aan ...
Hmm, vpn is idd een optie. Heb het eerlijkgezegt zelf nog nooit gebruikt. Ik vraag me dan alleen af of ik 't probleem niet gewoon opschuif. Ze zullen in dat geval wss gewoon proberen om vpn te brute forcen, right?

maandag 3 maart 2014 23:26

Acties:
  • 0Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Bloemstukje schreef op maandag 03 maart 2014 @ 23:23:
Mag ik, als network noob vergeleken bij dit, vragen wat dit voor attacks zijn? Zijn dit echt hackers/geautomatiseerde hackers die proberen in te breken?
Scripts op gecompromitteerde hosts die proberen zichzelf te verspreiden voor een groot deel. Verder inderdaad gewoon scriptkiddies (noobs m.a.w.) die een plekje zoeken om hun irc bouncer te draaien en daarvoor gewoon een scriptje draaien wat het internet afzoekt.

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 3 maart 2014 23:26

Acties:
  • 0Henk 'm!
  • ItsValium
  • Registratie: Juni 2009
  • Laatst online: 31-05 10:27

ItsValium

Als je een VPN server goed instelt dan is dat veel minder interessant voor een hacker, daar zit tegenwoordig al aardig wat encryptie op en is veel moeilijker dan gewoon wachtwoordjes raden bij SSH ;)

Ik gebruik onder andere OpenVPN en er moet al een certificaat klaar staan vooraleer de verbinding openkomt en dan moet nog een gebruikersnaam en paswoord erdoor komen. Een certificaat bruteforcen kan natuurlijk wel maar dan spreek je over vele grootte orders hoger aan rekenkracht tov wachtwoordje bruteforcen op SSH

Paar tips voor VPN: gebruik een niet standaard poort, gebruikt hoge encryptie waardes (1024bit) en je zal zien dat ze na enkele pogingen wel opgeven als ze al die niet standaard poort weten te vinden.

Het meeste van die scriptjes loopt gewoon IP-ranges af op standaard poorten en kijkt waar er reactie komt en slaat dan aan het brute-forcen.

[Voor 68% gewijzigd door ItsValium op 03-03-2014 23:31]

maandag 3 maart 2014 23:28

Acties:
  • 0Henk 'm!
  • Bloemstukje
  • Registratie: December 2008
  • Laatst online: 14:37

Bloemstukje

CyBeR schreef op maandag 03 maart 2014 @ 23:26:
[...]


Scripts op gecompromitteerde hosts die proberen zichzelf te verspreiden voor een groot deel. Verder inderdaad gewoon scriptkiddies (noobs m.a.w.) die een plekje zoeken om hun irc bouncer te draaien en daarvoor gewoon een scriptje draaien wat het internet afzoekt.
Thnx, zo leert men nog eens wat :). Sorry dat ik het topic kaap, back OT!

gewoon nee.

maandag 3 maart 2014 23:28

Acties:
  • 0Henk 'm!
  • base_
  • Registratie: April 2003
  • Laatst online: 15:49

base_

Die botnetwerken zoeken constant vulnerabilities zoals ssh default passwords, joomla bugs, admin passwords etc etc, en reporten die vervolgens weer netjes ergens op een irc kanaal zodat de scriptkiddo's/hackers deze als het ze uitkomt kunnen gebruiken. Er zijn complete software suites om zo een botnetwerk op te zetten (zelfs met amper computerkennis....).

edit: persoonlijk zou ik als je dan toch zo nodig betere beveiliging wilt gewoon password based ssh login disablen en alleen certificaten toestaan. Dan ben je niet afhankelijk van VPN toegang (openvpn kan ook platgaan b.v.). Als je echter met bijvoorbeeld fail2ban of sshguard het aantal logins tot 5 beperkt dan moet je wel heel slechte passwords gebruiken als ze die met brute force kunnen kraken ;).

[Voor 36% gewijzigd door base_ op 03-03-2014 23:32]

dinsdag 4 maart 2014 00:11

Acties:
  • 0Henk 'm!
  • temp00
  • Registratie: Januari 2007
  • Niet online

temp00

Als het kan ben ik lam

Je zal ongetwijfeld wel weten waar je mee bezig bent, maar even een vraagje uit nieuwsgierigheid: hoe detecteer jij die aanvallen? Gebruik je daar software voor of kijk je naar je router logs of wellicht iets anders?

♠ REPLY CODE ALPHA ♠ 5800X, 16GB @ 3600cl16, 980 Pro 2TB, RTX 3080 Suprim X, Omen X 27 @ 240HZ ♠ Bekijk mijn Overwatch film hier

dinsdag 4 maart 2014 10:23

Acties:
  • 0Henk 'm!
  • Miyamoto
  • Registratie: Februari 2009
  • Laatst online: 04-06 23:20

Miyamoto

temp00 schreef op dinsdag 04 maart 2014 @ 00:11:
Je zal ongetwijfeld wel weten waar je mee bezig bent, maar even een vraagje uit nieuwsgierigheid: hoe detecteer jij die aanvallen? Gebruik je daar software voor of kijk je naar je router logs of wellicht iets anders?
Anoniem: 408263 schreef op maandag 03 maart 2014 @ 23:11:
een vps met Centos 6.4/DirectAdmin/.
--> http://help.directadmin.com/item.php?id=404

Zelf gebruik ik denyhosts en SSH keys.

dinsdag 4 maart 2014 11:03

Acties:
  • 0Henk 'm!
  • TVH7
  • Registratie: Oktober 2012
  • Laatst online: 04-06 12:54

TVH7

Tango Victor Hotel Seven

Het is ook een mogelijkheid om ssh alleen toe te staan voor je eigen ip adres en bijvoorbeel dat van je werk of waar je toegang tot je servr wilt hebben. Je kan dit doen doormiddel van IP-Tables of zelfs met de standaard firewall van linux UFW. SSH Keys zijn een pre.

dinsdag 4 maart 2014 11:07

Acties:
  • 0Henk 'm!
  • Freezerator
  • Registratie: Januari 2000
  • Laatst online: 15:04

Freezerator

Begin eerst eens met het veranderen van je ssh port (kies een hoog poort nummer zoals iets van 12345 of je postcode oid). Dat zal al van een flinke afname van dit soort geautomatiseerde aanvallen zorgen.

Wat ook een mooie oplossing is die op DirectAdmin werkt is http://www.configserver.com/cp/csf.html (wel je oude firewall en bfd software verwijderen)

[Voor 10% gewijzigd door Freezerator op 04-03-2014 11:08]

dinsdag 4 maart 2014 11:27

Acties:
  • 0Henk 'm!

Anoniem: 408263

Topicstarter
temp00 schreef op dinsdag 04 maart 2014 @ 00:11:
Je zal ongetwijfeld wel weten waar je mee bezig bent, maar even een vraagje uit nieuwsgierigheid: hoe detecteer jij die aanvallen? Gebruik je daar software voor of kijk je naar je router logs of wellicht iets anders?
Ehm..... Directadmin gooit me dood met meldingen. Standaard begint 'ie met het versturen van waarschuwingen via email na ik geloof 100 failed attempts. Je kan dat instellen als je admin access heb op DA onder administrator settings.

dinsdag 4 maart 2014 17:27

Acties:
  • 0Henk 'm!
  • mtak
  • Registratie: Juli 2002
  • Niet online

mtak

ItsValium schreef op maandag 03 maart 2014 @ 23:24:
enkel via vpn toegankelijk maken.
Nog een tip voor VPN. Bouw een VPN van je VPS naar huis. Hierdoor komt er geen extra poort op je VPS open te staan en kun je thuis in je firewall alleen het IP van je VPS toestaan om te verbinden (je VPS heeft toch een vast IP). Voor je dit doet en je SSH poort definitief dichtzet voor niet-VPN verkeer is het natuurlijk een goed idee om te checken of je console access hebt voor het geval dat de VPN onverhoopt niet meer werkt.

dinsdag 4 maart 2014 18:21

Acties:
  • 0Henk 'm!
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

mtak schreef op dinsdag 04 maart 2014 @ 17:27:
[...]


Nog een tip voor VPN. Bouw een VPN van je VPS naar huis. Hierdoor komt er geen extra poort op je VPS open te staan en kun je thuis in je firewall alleen het IP van je VPS toestaan om te verbinden (je VPS heeft toch een vast IP). Voor je dit doet en je SSH poort definitief dichtzet voor niet-VPN verkeer is het natuurlijk een goed idee om te checken of je console access hebt voor het geval dat de VPN onverhoopt niet meer werkt.
Maar dan kun je alleen vanaf thuis bij je VPS ;)

dinsdag 4 maart 2014 23:55

Acties:
  • 0Henk 'm!
  • pablo_p
  • Registratie: Januari 2000
  • Laatst online: 06-05 14:58

pablo_p

Ik sta SSH alleen toe vanaf ongeveer 5-10 adressen. Dat zijn mijn ouders, thuis, kantoor en de SSH servers van twee internet providers waar ik inlogaccounts heb. Die laatste hebben SSH vanaf de hele wereld toegestaan, maar gebruik wordt wel continu gemonitord. Die gebruik ik als stepping stone als ik vanaf andere locaties kom of als onverhoopt mijn IP adres thuis veranderd (bewust of ongewenst).

Ik ben zo > 99.9999% van de attacks kwijt (als het niet 100% is), die bounced op mijn firewall rules en niet op failed SSH login.

woensdag 5 maart 2014 10:44

Acties:
  • 0Henk 'm!
  • looc
  • Registratie: Januari 2012
  • Laatst online: 02-06 15:48

looc

Wat ik heb gedaan is de meeste IP ranges in iptables blokkeren, denk hierbij aan landen waar je waarschijnlijk niet een SSH verbinding van wilt toelaten (Alle APNIC ranges bijvoorbeeld). Hiermee sla je al een behoorlijke attacks mee af.

Verder kan je software zoals denyhosts op je VPS installeren. waarmee je kan configureren dat er een maximaal aantal inlogpogingen mogen worden gedaan per IP voordat deze wordt geblokkeerd.

Hierboven heb ik het al voorbij zien komen, maar je zou dus ook gewoon root inlgogpogingen kunnen blokkeren. Samen met een moeilijk te raden user/password combinatie hoef je je verder geen zorgen meer te maken.

woensdag 5 maart 2014 22:49

Acties:
  • 0Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Even over de aantallen: als ik naar kwetsbare SSH-hosts zou zoeken, zou ik ook beginnen bij de IP-range van een VPS-provider. De kans dat je daar een SSH-host tegenkomt is veel groter dan bij een ISP voor particulieren; die draaien allemaal windows

QnJhaGlld2FoaWV3YQ==

woensdag 5 maart 2014 23:00

Acties:
  • 0Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Brahiewahiewa schreef op woensdag 05 maart 2014 @ 22:49:
Even over de aantallen: als ik naar kwetsbare SSH-hosts zou zoeken, zou ik ook beginnen bij de IP-range van een VPS-provider. De kans dat je daar een SSH-host tegenkomt is veel groter dan bij een ISP voor particulieren; die draaien allemaal windows
maar hun routers niet.

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 6 maart 2014 08:17

Acties:
  • 0Henk 'm!
  • overhyped
  • Registratie: Januari 2003
  • Laatst online: 06:25

overhyped

stap 1 zou voor mij het uitzetten van wachtwoorden zijn, en ssh keys gebruiken. Stap 2 software zoals fail2ban of denyhost (FF checken welke ook ipv6 doet anno nu :) ) stap 3 subnets blokken, maar als je 1 en 2 hebt gedaan dan voegt 3 eigenlijk niet zo veel meer toe.

donderdag 6 maart 2014 09:45

Acties:
  • 0Henk 'm!
  • base_
  • Registratie: April 2003
  • Laatst online: 15:49

base_

Naast fail2ban en denyhost is er ook nog sshguard, die gebruik ik zelf al jaren naar volle tevredenheid.

donderdag 6 maart 2014 10:29

Acties:
  • 0Henk 'm!
  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 15:38

Koffie

Koffiebierbrouwer

Braaimeneer

Move PNS > NT

Zwembad - Braaihok - YouTube - BraaiTV - TBNT

donderdag 6 maart 2014 13:58

Acties:
  • 0Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

CyBeR schreef op woensdag 05 maart 2014 @ 23:00:
[...]maar hun routers niet.
't Zal aan mij liggen, maar het ontgaat me wat je hier mee wilt zeggen

QnJhaGlld2FoaWV3YQ==

donderdag 6 maart 2014 14:00

Acties:
  • 0Henk 'm!
  • AW_Bos
  • Registratie: April 2002
  • Laatst online: 02:24

AW_Bos

Liefhebber van nostalgie... 🕰️

Bloemstukje schreef op maandag 03 maart 2014 @ 23:25:
[...]


Aha, dus dat zijn geïnfecteerde computers van onwetenden die misbruikt worden om dit soort attacks te automatiseren in de hoop dat er ééntje breekt?
Het valt mij op dat er van die 'belletjestrekkers' bij mij vele uit Vietnam, Korea en China komen... ;)
Ik gebruik nu CSF+LFD, wat een heerlijke combinatie is. En in 24 uur tijd al 17 mensen met een permanente IP-ban die op het deurtje van SSH en SMTP zaten te kloppen. ;)

[Voor 18% gewijzigd door AW_Bos op 06-03-2014 14:03]

☀️ Goedemorgen zonneschijn! ☀️
☀️Ja, je maakt me zo gelukkig, en door jou voel ik me fijn! ☀️

donderdag 6 maart 2014 14:01

Acties:
  • 0Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Brahiewahiewa schreef op donderdag 06 maart 2014 @ 13:58:
[...]
't Zal aan mij liggen, maar het ontgaat me wat je hier mee wilt zeggen
Die draaien vaak wel linux + ssh.

All my posts are provided as-is. They come with NO WARRANTY at all.

Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee