Serverangriffe by Random

    Hallo Sponsor-Network-User,


    ich hab letztens einen neuen Server bestellt. Der wurde Nachmittag bereitgestellt und ich hatte erst abends Zeit ihn einzurichten.


    Da ich sehr darauf achte das meine Server "Sicher" sind gehört es bei mir zum Standart u.a den ssh-Port zuändern ect.


    Nun zum eigendlichen Thema. Wie ihr sicherlich alle wisst (Serverbesitzer) wird täglich versucht von Bots bzw Botnetzen Zugang zu euren Server zu bekommen. Als ich den SSH-Port gewechselt hab war ich neugierig wie oft in den parr Stunden versucht wurde das root-passwort über brute-force zu erraten. Zum Glück speichert debian sämtliche Loginversuche


    Ich war sehr überrascht


    Code
    1. root@server3:~# cat /var/log/auth.log | grep fail | wc -l
    2. 1207


    1207 mal von einer IP aus China


    Ich denk mit ausgefallenen Passworter würden die es auch nie schaffen aber SSH-Port ändern filtert schon mal 90% der automatischen Scans raus.


    Aktueller stand ist immernoch 1207 also kein weiterer Versuch

    Als wir noch in der Wiege lagen gab's noch keine Liegewaagen. Jetzt kann
    man in den Waagen liegen und sich in allen Lagen wiegen.

    Wenn du fail2ban installierst und richtig einrichtest haste die letzten paar % weg.
    Ich bekomm auf meinem Subnet täglich hunderte Angriffe. (Ich lasse mir die Bans von fail2ban per E-Mail zuschicken, bzw. die Anzahl mittels Munin visualisieren). Ist nix besonderes. Die meisten versuchen sich mit irgendwelchen nicht existierenden Usern einzuloggen oder Passwörter zu erraten obwohl man sich bei mir nicht mit Passwörtern einloggen kann :D
    Das ist auch nochwas was ich die empfehlen würde: SSH Keypair generieren, Public Key auf Server eintragen. Testen und dann im SSHD die Passwort Authentifizierung deaktivieren (config ändern, sshd neu starten).
    Da bei mir auch die meisten Angriffe aus China kommen sperre ich jedes chinesische Subnet aus dem mal nen Angriff kam in ner Firewall.


    Aktuelle Projekt Ban China Statistik :D

    Zitat

    327 Subnets (27822965 IP's) are permanently banned from this subnet

    Ich sprach ja auch von einen uneingerichteten Server und

    Zitat

    u.a den ssh-Port zuändern

    also nicht nur :)


    100% Sicher is nix


    virtualmarc


    eig keine schlechte idee :thumbsup:

    Als wir noch in der Wiege lagen gab's noch keine Liegewaagen. Jetzt kann
    man in den Waagen liegen und sich in allen Lagen wiegen.

    Dieser Beitrag wurde bereits 2 Mal editiert, zuletzt von Sponsoring4clans ()

    Astrong schrieb:

    Secure by obscure ist keine elegante Lösung!


    Eine vernünftige konfigurierte Firewall sollte solche Angriffe locker wegstecken!


    Kostenlos: iptables
    Günstig: Juniper SSG5


    2 Sachen:
    1. Wenn du eine Firewall davor hängen möchtest, dann doch bitte ne Cisco ASA. Ich persönlich finde Cisco um Längen besser als Juniper auch wenn es den ein oder anderen Euro mehr kostet. Aber das ist wie gesagt ein persönliches Empfinden.


    2. Die Firewall ist nur so gut, wie der Administrator, der sie verwaltet/einrichtet. Eine 100%ige Sicherheit bringt auch eine Firewall nicht, denn sogar bei uns im Firmennetz wo NextGeneration-Firewalls von PaloAlto eingesetzt werden und noch weitere Cisco ASA's, kommen immer mal wieder Login Versuche durch.



    1. Eine Firewall zu kaufen/mieten ist dafür schwachsinning, nur weil irgend ein Chinese mal sein bot auf ein paar server loslässt.
    2. Ändere den SSH port zu irgendetwas 4 Stelliges
    3. Installiere SSH Keys + Passwort was virtualmarc schon sagte.
    4. Installiere an alle restlichen dienste Fail2ban, oder ändere FTP Ports etc...
    5. Nun hast du deine ruhe...

    Ich hab jetzt eigendlich nicht nach Hilfe gefragt wie ich nen Server gegen diese Angriffe "absichern" kann. Ich nehm aber trotzdem alle Tipps und Tricks an :)


    Ich wollt mit diesen Thread eigendlich nur mal "unerfahrenen" Usern veranschaulichen (ohne tiefer Darauf einzugehn) wieviele Angriffe innerhalb von 2-3 Stunden auf einen Server zb bei einer Neuinsstallation ect. möglich sind. :)


    Wie gesagt wenn Ihr aber noch n Tipps habt hör ich gehn zu :thumbsup:

    Als wir noch in der Wiege lagen gab's noch keine Liegewaagen. Jetzt kann
    man in den Waagen liegen und sich in allen Lagen wiegen.