Reaksjon ved ssh brute-force-angrep?

[Entropi]

For en stund siden satte jeg opp en ssh-tjener på hjemmetjeneren min. Noen ganger i uken ser jeg i loggene at det blir forsøkt med brute-forcing av passord til ssh. Typiske brukere som blir forsøkt brute-forcet er; admin, root, mysql, test, en god del vanlige navn, webmaster, guest, osv.

 

Har satt opp sshd slik at det bare er en spesifikk bruker som kan logge inn og jeg har sterke passord, så det er ikke noen umiddelbar fare for innbrudd. Men det er jo litt irriterende med disse "skript-ungene" som forsøker å bryte seg inn.

 

Så hva bruker dere å gjøre ved slike angrep? Jeg tenkte å begynne og sende mail til eier av ip-blokken om at det jeg har blitt utsatt for angrep fra en av ip-adressene de disponerer. Er dette en fornuftig fremgangsmåte? Evt. hvorfor ikke? Bryr de seg i det hele tatt om slike varslinger? Er det andre måter dere heller bruker for å varsle slike angrep? Varsler dere i det hele tatt?

 

Jeg må si at et par forsøk på et brukernavn ikke er det som irriterer, for det kan like godt være noen som har tastet feil adresse når de skal logge inn på sin egen maskin, men det jeg tenker på er disse automatiserte angrepene hvor nye innlogginger blir forsøkt med noen sekunders mellomrom i et kvarters tid.

[Gadgetman]

Om det skjer ifra ei maskin tilknytta en ISP her i europa så hjelper det nok å sende mail, men husk å legge ved en skikkelig logg.

 

Om det er i USA, så bør du nok også sende meldinga til FBI samtidig, for ellers gir mange der borte bare faen.

 

Er det en ISP i Øst europa eller i Asia er det bare å glemme det...

 

Om det er adresseblokker som går igjen så bør du vurdere å rett og slett få blokkert disse i ruteren.

 

Ta også kontakt med din ISP. Det er godt mulig at det er flere enn deg som blir angrepet ifra samme pingle.

[Stream]

Jeg har aldri fått noe svar når jeg har sendt mail til isp'ene bak ip'en som prøver å skaffe seg tilgang - ei heller fra min egen isp (eller datasenteret hvor serverne er plassert).

 

Det jeg har gjort er å sette opp SSH på en annen port. Har ikke opplevd noen ureglementerte loginforsøk etter det.

[Uluen]

Sett opp SSH til å kun tillate si 3 innlogginsforsøk, så må vedkommende vente X antall minutter til neste forsøk.

Vil tro de gir opp ganske fort da.

[olear]

Sett opp SSH til å kun tillate si 3 innlogginsforsøk, så må vedkommende vente X antall minutter til neste forsøk.

Vil tro de gir opp ganske fort da.

Det er ikke en fysisk person som gjør dette

 

Eneste måten å stanse det på er å nekte bruk av passord (bruke pubkeys), eller veldig strenge regler i hosts.allow/deny.

Endret 19. august 2005 av olear

[Uluen]

Det er ikke en fysisk person som gjør dette

Eh nei men en maskin må også vente X minutter før nytt innloggingsforsøk

[olear]

Jepp, men da venter den bare og fortsetter til den har brukt opp listen med brukernavn, så går den videre til neste offer.

[Legion]

det er fint lite man kan gjøre med dette bortsett fra å blokkere ip-adresser.

mail til abuse-postkassa til isp'er for slike angrep fører sjelden (les: så godt som aldri) til noe.

 

btw, det du refererer til er ikke brute forceangrep, men thesaurus-angrep, dvs bassert på en ordliste. brute force skjer ved å bruke alle permutasjoner av x antall tegn, typisk store og små bokstaver samt tall++

[Entropi]

Da har jeg sendt min første abuse-melding. Det var en nederlandsk ISP, så får vi se om jeg hører noe mer. Det var i alle fall interessant å se hva dere andre mener.

 

Nu vet jeg ikke hvordan disse ssh angrepsscriptene fungerer, men jeg skal se på muligheten å blokkere connections fra en IP i noen minutter ved f.eks 3 gale logins fra samme IP. Kan dette gjøres direkte i sshd-configen, eller må man inn å mekke litt på script som modifiserer iptables osv.

 

btw, det du refererer til er ikke brute forceangrep, men thesaurus-angrep, dvs bassert på en ordliste. brute force skjer ved å bruke alle permutasjoner av x antall tegn, typisk store og små bokstaver samt tall++

 

Nu blir ikke passordene i seg selv logget, men sannsynligvis har du rett. På den andre siden kan man jo se på dictionary-angrep som et spesialtilfelle av brute-force, hvor søkerommet er sterkt avgrenset. Jeg velger i alle fall å se på brute-force som selve angrepsvektoren, mens f.eks. ordlistesøk og utmattende søk er to søkealgoritmer som benyttes til angrepsvektoren. Men nu er jeg ingen sikkerhetsekspert, så det kan godt hende at mine definisjoner er gale i forhold til de etablerte definisjonene innen sikkerhet.

[Uluen]

Kanskje du kan bruke SnortSam?

[Gjest Slettet-t8fn5F]

Det er bare stor sett å gi f.. i å sende til abuse. Som regel bruker ikke hackere / cracker, eller hva du måtte kalle dem, sin egen ipaddresse, men kobler seg opp gjennom diverse åpne proxyer. Mye av de angrep jeg har hatt på en hjemmeside er fra Brasil. Enkleste jeg gjorde var å nekte alle fra Brasil tilgang til sidene.

[Uluen]

Mye av de angrep jeg har hatt på en hjemmeside er fra Brasil.

Det har vært generelt mye drit fra Brasil en stund, tipper over 80% av all spam jeg får er derfra.

[kennethx]

Tror kanskje du ser etter dette:

https://www.diskusjon.no/index.php?showtopic=620887 (Deny Hosts)

Endret 23. august 2006 av kennethx

[Lindsay]

Jeg løste det ihvertfall med fail2ban og henvendelser på slike ting er bare å gi opp,men det er bare min erfaring

[kennethx]

Jeg løste det ihvertfall med fail2ban og henvendelser på slike ting er bare å gi opp,men det er bare min erfaring

6728930[/snapback]

 

 

 

Ser ut som de gjør mye det samme. Deny Hosts har i tillegg mulighet for å synkronisere bannlyste ip'er med Deny Hosts sentrale server.

 

EDIT:

Synes det er greit å inkludere linker jeg :

http://fail2ban.sourceforge.net/

Endret 23. august 2006 av kennethx