Toon posts:

Gehackt (SSH) en nu is ip gebacklist.

Pagina: 1
Acties:

Vraag

donderdag 31 maart 2022 18:37

Acties:
  • 0 Henk 'm!
  • Willempie27
  • Registratie: Augustus 2017
  • Laatst online: 12-09 20:33

Willempie27

Topicstarter
Mijn vraag

Zeker ben ik gehackt via SSH. Even geleden werkte mijn wachtwoord al niet (hoofletter,kleine letter, nummers en leesteken) en de SSH keys. Nu viel mij op dat ik ineens een aantal sites niet meer kan bezoeken. Ik dacht dat ze uit de lucht waren maar nu mn vpn aan stond waren ze wel bereikbaar. Dus een ip check gedaan bij mxtools en blijk mn ip adres op een zware lijst te staan. Reden SSH brutal force attack vanuit mijn kant. Inmiddels is het probleem verholpen door de container uit te schakelen en geen geen SSH verbinding van buitenaf te maken maar hoe krijg ik de ban eraf?
Deze zijn bij BLOCKLIST.DE en Spamhaus ZEN
Er waren ook nog andere blokkades maar die heb ik met curl van de lijst af kunnen halen.

Relevante software en hardware die ik gebruik

Het is een LXC container in een Proxmox server. Deze had ik al speciaal ingericht omdat er elke dag een bestand opgehaald moet worden.

Kort samengevat

Hoe krijg ik de ban eraf en hoe kan ik veilig het via ssh het bestand overdragen.
- poort is al gewijzigd anders dan 22
- Ip ban is niet mogelijk omdat bij de provider die het bestand van mij binnen haalt geen vast ip adres heeft.
- SSH keys ondersteunen ze niet

Beste antwoord (via Willempie27 op 01-04-2022 08:13)

vrijdag 1 april 2022 06:03

  • DiedX
  • Registratie: December 2000
  • Laatst online: 19:15

DiedX

Volgende keer beter lezen. Bij de blacklist-providers staat hoe je dat aan kan vragen.

En maak je gebruik van een wachtwoord-manager? Want dit klinkt als wachtwoord-hergebruik.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

Alle reacties

donderdag 31 maart 2022 21:11

Acties:
  • +1 Henk 'm!
  • de-snader
  • Registratie: Juni 2009
  • Nu online

de-snader

Je kan fail2ban gebruiken om IP-adressen na een X-aantal foutieve inlogpogingen te blokkeren. Je provider kan dan met het juiste wachtwoord, ook met een wisselend IP, gewoon inloggen. Bij een brute force attack wordt na een paar mislukte pogingen het betreffende IP direct geblocked.

Canon Eos 77D | Canon 50mm 1.8 | Canon 18-55 mm IS STM | Canon 55-250mm

vrijdag 1 april 2022 00:26

Acties:
  • 0 Henk 'm!
  • slaapkopje
  • Registratie: Juli 2011
  • Laatst online: 16-03 19:06

slaapkopje

De ban eraf is mogelijk door een nieuw op adres te regelen, of je krijgt die toegewezen via dhcp of je vraagt het aan je provider.

Veilig krijg je SSH niet, maar gebruik een lang en random wachtwoord, daarnaast geef je de gebruiker geen Shell, hij hoeft tenslotte alleen een file copy te doen, die user moet verder niks mogen doen

vrijdag 1 april 2022 06:03

Acties:
  • Beste antwoord
  • +2 Henk 'm!
  • DiedX
  • Registratie: December 2000
  • Laatst online: 19:15

DiedX

Volgende keer beter lezen. Bij de blacklist-providers staat hoe je dat aan kan vragen.

En maak je gebruik van een wachtwoord-manager? Want dit klinkt als wachtwoord-hergebruik.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

vrijdag 1 april 2022 08:13

Acties:
  • 0 Henk 'm!
  • Willempie27
  • Registratie: Augustus 2017
  • Laatst online: 12-09 20:33

Willempie27

Topicstarter
DiedX schreef op vrijdag 1 april 2022 @ 06:03:
Volgende keer beter lezen. Bij de blacklist-providers staat hoe je dat aan kan vragen.

En maak je gebruik van een wachtwoord-manager? Want dit klinkt als wachtwoord-hergebruik.
Ik stond op meerdere lijsten waarbij de stappen bij stonden om te verwijderen maar bij deze 2 niet. Nu dacht ik dat die sites ook niet werkten om te deblokkeren maar via VPN wel bereikbaar en nu verwijderd. Ik heb ook mn DNS provider veranderd maar dit heft ook de blokkade niet op. Bedankt voor de input.
Ik gebruik wel een wachtwoordmanager maar deze LXC container had een uniek wachtwoord.


Als anders optie hebben ze nog FTP en HTTPS dus ik ga voor de laatste om het bestand op te laten halen.

[ Voor 14% gewijzigd door Willempie27 op 01-04-2022 08:16 ]

vrijdag 1 april 2022 08:16

Acties:
  • 0 Henk 'm!
  • xh3adshotx
  • Registratie: Oktober 2011
  • Laatst online: 28-02-2023

xh3adshotx

Het lijkt erop dat je geen idee hebt wat je doet. “Heb mijn dns veranderd maar dat heft de ban niet op”. Het draaien van een SSH server is dan zeer riskant.

De gelinkte blacklists zijn volgens mij vooral voor mailservers. Kunnen ook gebruikt worden voor webservers maar dat is zeldzamer. Grote kans dat je door Akamai of Cloudflare geflagged/blokkeerd bent.

Hoe dan ook maakt het niet echt uit. De genoemde blocklists heffen bijna nooit een blokkade op tenzij je een bedrijf bent en wat geld schuift. Akamai en Cloudflare volgens mij alleen na een bepaalde tijd.
Willempie27 schreef op vrijdag 1 april 2022 @ 08:13:
[...]
Als anders optie hebben ze nog FTP en HTTPS dus ik ga voor de laatste om het bestand op te laten halen.
Waarom heb je eigenlijk voor SSH gekozen?

[ Voor 19% gewijzigd door xh3adshotx op 01-04-2022 08:18 ]

vrijdag 1 april 2022 08:18

Acties:
  • 0 Henk 'm!
  • thunder7
  • Registratie: Januari 2003
  • Laatst online: 21:00

thunder7

houten vaas/schaal nodig?

- SSH keys ondersteunen ze niet
Erg gemakkelijk - voor hun, met nadelen voor jou, zoals nu blijkt. Ik zou de relatie heroverwegen. Als ze geen SSH-keys ondersteunen, dan maar anders - VPN bijvoorbeeld.

hout-nerd - www.hetmooistehout.nl of www.houtenschalen.nl

vrijdag 1 april 2022 08:28

Acties:
  • +1 Henk 'm!
  • Willempie27
  • Registratie: Augustus 2017
  • Laatst online: 12-09 20:33

Willempie27

Topicstarter
Het is een programma dat mn voorraad bestand opgehaald en verwerkt met de voorraad in de webshop, bol.com, marktplaats etc. Het probleem is dat er geen andere partij is.

Ik heb voor SSH gekozen omdat FTP zeker niet veilig is. En HTTPS had ik wel gekozen als het een vast IP adres was van het bedrijf dat het bestand op haald. Ik dacht redelijk veilig te zitten met een uniek wachtwoord port op 10000 ipv 22 en draaiend in een container. Mocht het bestand gedownload worden is het ook niet een heel groot probleem. Maar nooit bij stil gestaan dat ook gebruikt werdt voor brutal force.

Inmiddels heb ik een lijst ontvangen met alle ip adressen die ze gebruiken. Dus zal alleen die nog toegang geven.

vrijdag 1 april 2022 08:39

Acties:
  • 0 Henk 'm!
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Willempie27 schreef op vrijdag 1 april 2022 @ 08:28:
Het is een programma dat mn voorraad bestand opgehaald en verwerkt met de voorraad in de webshop, bol.com, marktplaats etc. Het probleem is dat er geen andere partij is.

Ik heb voor SSH gekozen omdat FTP zeker niet veilig is. En HTTPS had ik wel gekozen als het een vast IP adres was van het bedrijf dat het bestand op haald. Ik dacht redelijk veilig te zitten met een uniek wachtwoord port op 10000 ipv 22 en draaiend in een container. Mocht het bestand gedownload worden is het ook niet een heel groot probleem. Maar nooit bij stil gestaan dat ook gebruikt werdt voor brutal force.

Inmiddels heb ik een lijst ontvangen met alle ip adressen die ze gebruiken. Dus zal alleen die nog toegang geven.
Brute Force, niet Brutal Force ;)

Als je dit toch geautomatiseerd hebt, zou ik een wachtwoord van 30 karakters maken met kleine letters, hoofdletters en speciale karakters. Dat kan nooit gebrute forced worden.

De actuele opbrengst van mijn Tibber Homevolt

vrijdag 1 april 2022 08:47

Acties:
  • 0 Henk 'm!
  • xh3adshotx
  • Registratie: Oktober 2011
  • Laatst online: 28-02-2023

xh3adshotx

JackBol schreef op vrijdag 1 april 2022 @ 08:39:
[...]


Brute Force, niet Brutal Force ;)

Als je dit toch geautomatiseerd hebt, zou ik een wachtwoord van 30 karakters maken met kleine letters, hoofdletters en speciale karakters. Dat kan nooit gebrute forced worden.
Daarbij dan wel de IP whitelisting en fail2ban aanzetten en minimaal de shell uitzetten. Anders heb je nog een probleem als iemand SSH sniffing weet uit te voeren of de voorraadbeheerder het wachtwoord laat slingeren.

Liever gewoon via HTTPS met eventueel basic auth. Mocht iemand dat weten te “hacken” kunnen ze toch vrij weinig. Mits je de server up-to-date houdt.

vrijdag 1 april 2022 08:57

Acties:
  • 0 Henk 'm!
  • Willempie27
  • Registratie: Augustus 2017
  • Laatst online: 12-09 20:33

Willempie27

Topicstarter
Bedankt voor het advies. Van het weekend weer wat te doen.

vrijdag 1 april 2022 10:34

Acties:
  • 0 Henk 'm!
  • fockarty
  • Registratie: Januari 2005
  • Laatst online: 20:29

fockarty

Root login uitzetten en sudo gebruiken, poortnummer aanpassen hebben ze zo door.. Subnets van je provider whitelisten ipv hele wereld, verder idd fail2ban
Is kans op herhaling stukken kleiner

[ Voor 10% gewijzigd door fockarty op 01-04-2022 10:35 ]

vrijdag 1 april 2022 10:36

Acties:
  • +2 Henk 'm!
  • mgizmo
  • Registratie: Januari 2009
  • Nu online

mgizmo

JackBol schreef op vrijdag 1 april 2022 @ 08:39:
[...]
Als je dit toch geautomatiseerd hebt, zou ik een wachtwoord van 30 karakters maken met kleine letters, hoofdletters en speciale karakters. Dat kan nooit gebrute forced worden.
Ik zou 31 doen. Die ene kan net het verschil uitmaken. :P
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq