Unbekannter versucht sich ständig via ssh einzuloggen

Dieses Thema im Forum "Security Talk" wurde erstellt von Lord Kefir, 14.02.2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. #1 Lord Kefir, 14.02.2006
    Lord Kefir

    Lord Kefir König

    Dabei seit:
    10.06.2004
    Beiträge:
    944
    Zustimmungen:
    0
    Tach!

    Bei meiner Freundin versucht sich seit geraumer Zeit ein Fremder via ssh einzuloggen. Ich denke die entsprechende Person nutzt ein Script:

    Die IPs führen in der Regel zu irgendwelchen Firmenseiten. Ich frage mich nun, wer der Bösewicht ist und wie er an die IP meiner Freundin kommt (sie chattet nicht, hat kein GAIM oder sonst was drauf und ist auch in keinem Forum angemeldet).

    Hat einer 'nen Tipp für mich, was ich als nächstes für Schritte unternehmen kann?!

    Mfg, Lord Kefir
     
  2. Anzeige

    Schau dir mal diesen Ratgeber an. Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. rikola

    rikola Foren Gott

    Dabei seit:
    23.08.2005
    Beiträge:
    2.133
    Zustimmungen:
    0
    Solche Attacken sind voellig normal. Ich schaetze, dass irgendein Kid oder Virus ein Windows-Skript ausprobiert, dass einen bestimmten IP-Bereich abklappert und versucht, sich dort mit Standardnamen/Passwoertern einzuloggen. Bei mir passiert so etwas mehrmals pro Woche(grade zum Beispiel). Ist laestig, v.a., wenn die Platte nicht die leiseste ist.
    Das einfachste, was Du machen kannst, ist sicherstellen, dass die Passwoerter alle sicher sind (min 8Zeichen, nicht nur Buchstaben, usw...).

    Wenn es Dich wirklich nervt, schalte eine OpenBSD-Firewall davor. Dort kann man einstellen, anfragen von IP-Adressen, die sich in einem bestimmten Zeitintervall oft melden, zu sperren, ganz oder zeitweise.
     
  4. #3 Lord Kefir, 14.02.2006
    Lord Kefir

    Lord Kefir König

    Dabei seit:
    10.06.2004
    Beiträge:
    944
    Zustimmungen:
    0
    Hm... 'ne BSD-Firewall würde mir dann doch zuviel Aufwand werden. Nervig ist das mit den Login-Versuchen schon, aber ich denke, dass die Passwörter etc. sicher genug sein sollten.

    Mfg, Lord Kefir
     
  5. #4 oyster-manu, 14.02.2006
    oyster-manu

    oyster-manu toast

    Dabei seit:
    26.06.2003
    Beiträge:
    1.055
    Zustimmungen:
    0
    @rikola:
    warum gerade ne BSD-firewall? kann man das mit iptables nicht auch? oder meinst du damit das selbe?

    manu
     
  6. #5 Schlubber, 14.02.2006
    Schlubber

    Schlubber Aurox ,Win XP User

    Dabei seit:
    14.12.2004
    Beiträge:
    167
    Zustimmungen:
    0
    Ort:
    /home/schlubber
    ich hab dass problem nicht mehr hab eine IPFire Firewall mit Guardian ob der automatisch alles blockiert was inerhalb eines gewissen zeit intervall ist.
     
  7. #6 Wolfgang, 14.02.2006
    Wolfgang

    Wolfgang Foren Gott

    Dabei seit:
    24.04.2005
    Beiträge:
    3.978
    Zustimmungen:
    0
    Ort:
    Erfurt
    Hallo
    Solche Scripte (auf meist verseuchten Windows-Kisten) sind die Normalität, stellen das allgemeine Netzrauschen dar.
    Um das etwas einzuschränken, kannst du den sshd auf einem anderen Port lauschen lassen.
    Das hilft merklich, da die Scripte fast ausschließlich auf den Standardport zugreifen.
    Du musst dann nur den relevanten Personen, die sich einloggen dürfen diesen selbstgewählten Port bekanntgeben.

    Wenn du paranoid bist, dann verbiete den root-Login.
    Dann muss sich auch root über einen erstellten Useraccount einloggen, und kann dann erst durch su zu root werden.

    Auf meiner rein privaten Kiste verbiete ich z.B. alles was irgendwie MS oder Windows oder Winnt im User-Agent enthält, meinen Apache zu besuchen.
    Das verhindert die lästigen Scripte die nach bekannten php-Lücken scannen. Abgesehen davon arbeite ich nur mit perl, php ist gar nicht installiert.
    :devil:

    Wie dicht du die Kiste auch machst, Scriptkiddispuren wirst du immer finden. Allein die Anzahl an Windows-Zombies ist gigantisch.

    Gruß Wolfgang
     
  8. rikola

    rikola Foren Gott

    Dabei seit:
    23.08.2005
    Beiträge:
    2.133
    Zustimmungen:
    0
    Ich habe mich nur noch nie mit Firewalls unter Linux auseinandergesetzt. Und mit BSD scheint das sehr einfach zu gehen.
     
  9. saiki

    saiki Bratwurstgriller

    Dabei seit:
    18.03.2003
    Beiträge:
    934
    Zustimmungen:
    0
    Ort:
    Sachsen/ Meerane
    das ssh ausgehorche ist normal. falls es dich nervt, mach nur publickeyauth. ist sicherer und der "angreifer/kiddie" hat keine chance. außerdem spart es dir die passwort eingabe beim einloggen. rootlogin würde ich generell abstellen.
     
  10. #9 joharrer, 15.02.2006
    joharrer

    joharrer Jungspund

    Dabei seit:
    13.02.2006
    Beiträge:
    13
    Zustimmungen:
    0
    Hab ich da was flasch verstanden? Oder hat man(Sie) dann nicht mehr die möglichkeit von "Außen" via SSH zuzugreifen?

    Ich verwende SSH ja zur "Fernwartung" :D Von Außen!
    Oder sollte ich mir doch noch mal die man sshd durchlesen?

    L.G Jörg
     
  11. #10 danielgoehl, 15.02.2006
    danielgoehl

    danielgoehl Lehrling

    Dabei seit:
    12.01.2003
    Beiträge:
    96
    Zustimmungen:
    0
    Ort:
    Maastricht
    @joharrer vieleicht schon *g*

    saiki meinte das man auch eine publik key authentifizierung nutzen kann. Dh du generierst mit (ich glaub) ssh-keygen eine key pair. Den public legst du unter ~/.ssh/authorized_keys auf allen kisten ab die du warten moechtest. Dann kannst du auf deiner kiste deinen Private Key laden und brauchst ab dem zeitpunkt kein pwd mehr einzugeben wenn du Dich auf den andern kisten anmelden moechtest.

    Hoffe es hilft dir ein wenig weiter

    gruss Daniel
     
  12. #11 joharrer, 15.02.2006
    joharrer

    joharrer Jungspund

    Dabei seit:
    13.02.2006
    Beiträge:
    13
    Zustimmungen:
    0
    Ok, klingt gut. Aber mit keygen hab ich genau 0 am hut?(
     
  13. rikola

    rikola Foren Gott

    Dabei seit:
    23.08.2005
    Beiträge:
    2.133
    Zustimmungen:
    0
    Falls Du nur noch Authentifizierung per public key erlaubst, kannst Du Dich nicht mehr von neuen Maschinen auf dem Rechner einloggen, weil der Schluessel dann nicht vorhanden ist! Ueberlege es Dir gut, bevor Du sshd entsprechend konfigurierst!
    Ausserdem denke ich, dass dadurch der Angreifer trotzdem noch mit dem sshd in Kontakt treten muss, bevor der ihm den Zutritt verwehrt, d.h., an Deiner Log-Datei wird sich nicht viel aendern.
     
  14. #13 avaurus, 15.02.2006
    avaurus

    avaurus °°°°°°°°°°°°°

    Dabei seit:
    28.12.2003
    Beiträge:
    965
    Zustimmungen:
    0
    Security by Obscurity ist imho völlig falsch.

    immer! root über ssh reinlassen ist ja wie eine Einladung. Optimalerweise sollte man bei entsprechender Umgebung nur bestimmte IP - Adressen auf SSH zugreifen lassen lassen. Mit DynDNS auch für dynamische IP kein Problem, da die meisten Firewalls auch mit Hostnamen arbeiten ;).


    Ich habe im Netz eine Kiste, auf der die ganze Welt auf den SSH zugreifen kann, doch ich habe nicht einen Einbruchsversuch, obwohl die Kiste schon 1 Jahr und 50 Tage so da steht. Naja, manche werden von diesen "Attacken" wohl angezogen.
     
  15. Lesco

    Lesco segmentation fault

    Dabei seit:
    18.12.2005
    Beiträge:
    67
    Zustimmungen:
    0
    Ort:
    Hessen
    man 1 ssh-keygen
    Btw: Das "keygen" in dem Namen hat nichts mit serials für kommerzielle software usw. zu tun, falls du das falsch verstanden hast. Es werden lediglich keys für rsa/<andere asymmetrische kryptosysteme hier einsetzen> generiert.
     
  16. rikola

    rikola Foren Gott

    Dabei seit:
    23.08.2005
    Beiträge:
    2.133
    Zustimmungen:
    0
    Das wollte ich schon immer mal erklaert bekommen! Wenn ich eine Maschine von ausserhalb verwalten moechte, benoetige ich auf jeden Fall entweder das root-Passwort oder benutze sudo und brauche dazu das Passwort eines Users. In beiden Faellen haengt die Sicherheit des Systems doch einzig an einem Passwort, oder was uebersehe ich da? Waere fuer eine Erklaerung sehr dankbar.
     
Thema: Unbekannter versucht sich ständig via ssh einzuloggen
Besucher kamen mit folgenden Suchen
  1. joharrers window.what is it

Die Seite wird geladen...

Unbekannter versucht sich ständig via ssh einzuloggen - Ähnliche Themen

  1. Sed od. Awk - Ersetzen unbekannter parameter

    Sed od. Awk - Ersetzen unbekannter parameter: Hallo liebes Forum, tja mein erster Post gleich ne Frage. Sorry. Ich habe ein Textfile indem sich verschiedene Strings befinden. Diese...
  2. unbekannter mount fehler beim cdrom laufwerk

    unbekannter mount fehler beim cdrom laufwerk: Das hatte ich auch noch nie mount /dev/cdrom /mnt/cdrom/ mount: block device /dev/hdc is write-protected, mounting read-only mount: /dev/hdc:...
  3. unbekannter cron auftrag

    unbekannter cron auftrag: Hallo, ich habe eben einen Cron Auftrag auf unsere Firmenkiste gefunden den ich nicht zuordnen kann. Ausserdem weiß ich nicht was genau dieser...
  4. unbekannter Dateisystemtyp „vfat“

    unbekannter Dateisystemtyp „vfat“: Hi, versuche gerade die Compact Flash Card meienr DigiCam mit openSUSE 10.2 auszulesen. Leider ohne erfolg. Weder der Automount noch manuelles...
  5. 10.2 - unbekannter Fehler bei Installation

    10.2 - unbekannter Fehler bei Installation: Hallo Leute, es ist vielleicht nur eine Kleinigkeit, doch auch ich kenne mich bisher nur wenig mit Linux bzw. openSUSE aus. Hab das x86-64...
Status des Themas:
Es sind keine weiteren Antworten möglich.