kennethx Skrevet 23. august 2006 Del Skrevet 23. august 2006 Hei. Har satt opp Deny Hosts på serveren min, og jeg får daglig melding om angrep mot serveren, og IP addresser som er blitt banned. Det finnes statistikk på hjemmesiden til Deny Hosts: http://stats.denyhosts.net/stats.html Her ser vi at Usa, Kina og Korea, står for top 3. Deny Hosts monitorerer aktivitet på ssh login, og etter fem (default) misslykkede login forsøk fra en IP addresse så blir den bannlyst, og får ikke svar fra serveren noe mer. Det er veldig konfigurerbart, med tanke på terskelnivåer for det meste. Deny Hosts har også en sentral server du kan velge å sende/motta bannlyste IP addresser fra. Anbefales! Lenke til kommentar
Henrik C Skrevet 23. august 2006 Del Skrevet 23. august 2006 Og hva krever den av systemressurser? Lenke til kommentar
kennethx Skrevet 23. august 2006 Forfatter Del Skrevet 23. august 2006 Så og si ingenting Og jeg har en P3 500Mhz 256MB ram Lenke til kommentar
Equerm Skrevet 24. august 2006 Del Skrevet 24. august 2006 Fancypants, er det en webserver du har? Slik at spamboter og lignende prøver å gjøre ting på siden din? Lenke til kommentar
kennethx Skrevet 24. august 2006 Forfatter Del Skrevet 24. august 2006 Joda, serveren hoster et domene. Web server, forum, torrent tracker, ssh osv osv. Deny Hosts detekterer brute force angrep mot ssh login. Det er skript kids som kjører brukernavn/passord lister og angiper ssh login med brute force. Er gjerne opp i 5 angrep pr dag (5 forskjellige IP'er) og jeg har et forholdsvis lite profilert domene. Men det er andre former for angrep også, ser man i apache access log, så ser man forsøk på bufferoverflow angrep osv osv... Før jeg installerte Deny Hosts kunne auth.log bli flere megabyte på en dag! dette er da flere megabyte med ssh failed login. Ett lite eksempel: (host navn og hacker ip sladda ) Aug 16 11:15:10 -------- sshd[2965]: error: Could not get shadow information for NOUSER Aug 16 11:15:11 -------- sshd[2965]: Failed password for illegal user library from 84.205.40.x port 52237 ssh2 Aug 16 11:15:11 -------- sshd[2967]: Illegal user test from 84.205.40.x Aug 16 11:15:11 -------- sshd[2967]: error: Could not get shadow information for NOUSER Aug 16 11:15:11 -------- sshd[2967]: Failed password for illegal user test from 84.205.40.x port 52299 ssh2 Aug 16 11:15:12 -------- sshd[2970]: Failed password for root from 84.205.40.x port 52352 ssh2 Aug 16 11:15:12 -------- sshd[2973]: Failed password for root from 84.205.40.x port 52409 ssh2 Aug 16 11:15:13 -------- sshd[2975]: Illegal user admin from 84.205.40.x Aug 16 11:15:13 -------- sshd[2975]: error: Could not get shadow information for NOUSER Aug 16 11:15:13 -------- sshd[2975]: Failed password for illegal user admin from 84.205.40.x port 52460 ssh2 Aug 16 11:15:13 -------- sshd[2978]: Illegal user guest from 84.205.40.x Aug 16 11:15:14 kennyboy sshd[2978]: error: Could not get shadow information for NOUSER Aug 16 11:15:14 -------- sshd[2978]: Failed password for illegal user guest from 84.205.40.x port 52504 ssh2 Aug 16 11:15:14 -------- sshd[2981]: Illegal user master from 84.205.40.x Aug 16 11:15:15 -------- sshd[2981]: error: Could not get shadow information for NOUSER Aug 16 11:15:15 -------- sshd[2981]: Failed password for illegal user master from 84.205.40.x port 52545 ssh2 Aug 16 11:15:15 -------- sshd[2985]: refused connect from 84.205.40.x (84.205.40.x) På siste linje i loggen har Deny Hosts kicket inn, og 84.205.40.x blir rapportert til Deny Hosts sentrale server Lenke til kommentar
Equerm Skrevet 24. august 2006 Del Skrevet 24. august 2006 Jeg synst du skal kontakte ISPen deres å si ifra Lag et PHP script som sender en mail til deres ISP for hver gang, sikkert et slit uten like å finne frem alle ISP adresser men tenk så gøy det hadde vert Lenke til kommentar
kennethx Skrevet 24. august 2006 Forfatter Del Skrevet 24. august 2006 Det er over 3000 bannlyste IP'er på serveren min nå. Jeg har ikke tid til å lete frem isp og drive mail og oppfølging av slike ting. Men det at hackerene nå legges inn i en sentral database administrert av deny hosts, slik at hacker ip'ene synkroniseres, det er jo positivt Lenke til kommentar
Equerm Skrevet 25. august 2006 Del Skrevet 25. august 2006 Det er over 3000 bannlyste IP'er på serveren min nå. Jeg har ikke tid til å lete frem isp og drive mail og oppfølging av slike ting. Men det at hackerene nå legges inn i en sentral database administrert av deny hosts, slik at hacker ip'ene synkroniseres, det er jo positivt 6733722[/snapback] Meget positivt er det ja, 3000 IP adresser er veldig veldig mye hva er det for noe du bruker denne serveren til? Lenke til kommentar
kennethx Skrevet 25. august 2006 Forfatter Del Skrevet 25. august 2006 Nå er bare ca 100 av de bannet direkte av meg, de fleste IP'ene motar jeg fra Deny Hosts server når den synkroniserer og utveksler IP'er begge veier. Det som får mest trafikk er nok siden der jeg hoster en winamp plugin jeg har laget. http://aonow.kennyboy.org Ellers er det stort sett venner og kjente som er innom noen andre subdomener, privat forum og litt mer. Lenke til kommentar
xqus Skrevet 26. august 2006 Del Skrevet 26. august 2006 Jeg løste dette problemet med å deaktivere passordbasert autentisering. Virker veldig bra når det er bare jeg som skal ha SSH tilgang til serveren. Lenke til kommentar
kennethx Skrevet 27. august 2006 Forfatter Del Skrevet 27. august 2006 I.o.m at jeg bruker ssh login til serveren når jeg ikke har lokal tilgang, og jeg har andre brukere som bruker ssh tilgang til serveren, så er jeg litt avhengig av at det er mulig å logge inn med gyldig bruker/passord fra Internet Oppe i 4294 bannlyste IP'er nå Lenke til kommentar
olear Skrevet 27. august 2006 Del Skrevet 27. august 2006 Bytt port, problemet løst Lenke til kommentar
kennethx Skrevet 27. august 2006 Forfatter Del Skrevet 27. august 2006 vel, da tar hackeren en kjapp nmap, så er problemet tilbake Det absolutt ikke en løsning, deny hosts er imidlertid en løsning Lenke til kommentar
Lindsay Skrevet 28. august 2006 Del Skrevet 28. august 2006 (endret) Har innstalert Deny Host så får vi se uansett så slår fail2ban inn og banner de Endret 28. august 2006 av nre1458 Lenke til kommentar
Gjest Slettet-df17e Skrevet 28. august 2006 Del Skrevet 28. august 2006 Personlig bruker jeg knocd for og beskytte min kjære sshd - funker utmerket Lenke til kommentar
olear Skrevet 29. august 2006 Del Skrevet 29. august 2006 vel, da tar hackeren en kjapp nmap, så er problemet tilbake Det absolutt ikke en løsning, deny hosts er imidlertid en løsning Vel, dette er automatiske script som alltid går etter port 22. Jeg har aldri fått et angrept siden jeg skiftet port. Lenke til kommentar
Hagforce Skrevet 3. september 2006 Del Skrevet 3. september 2006 Jeg byttet også port til en 4sifret, har ikke hatt noen forsøk siden. Lenke til kommentar
Zerge Skrevet 7. september 2006 Del Skrevet 7. september 2006 Mine ssh servere ligger bak TLS/Blowfish krypterte tuneller:) <3 OpenVPN <3 Lenke til kommentar
xqus Skrevet 8. september 2006 Del Skrevet 8. september 2006 I.o.m at jeg bruker ssh login til serveren når jeg ikke har lokal tilgang, og jeg har andre brukere som bruker ssh tilgang til serveren, så er jeg litt avhengig av at det er mulig å logge inn med gyldig bruker/passord fra Internet Oppe i 4294 bannlyste IP'er nå 6749900[/snapback] Brukere kan fremdeles logge inn fra hvorsomhelst... så lenge de har sin private nøkkel med seg... Lenke til kommentar
sdf123 Skrevet 9. september 2006 Del Skrevet 9. september 2006 Nå er bare ca 100 av de bannet direkte av meg, de fleste IP'ene motar jeg fra Deny Hosts server når den synkroniserer og utveksler IP'er begge veier. Det som får mest trafikk er nok siden der jeg hoster en winamp plugin jeg har laget. http://aonow.kennyboy.org Ellers er det stort sett venner og kjente som er innom noen andre subdomener, privat forum og litt mer. 6739307[/snapback] Så kjekt ut denyhost. Står den sida på en p3, 50mhz, 256ram? Virke veldig kjapp. Hva slags linje står den på? Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå