Anzeige

Brute force attacke, v-server, absichern, ...


pointhi

Erfahrenes Mitglied
#1
Hy, ich hab einen kleinen V-Server im internett, nur 256MB-Ram, die dienste stürzen eh oft genug wegen ram-mangel ab :), ist aber nichts wichtiges.
Wie erwartet bei servern ist er opfer einer einfachen brute-force attacke mit standardpasswörtern, etc. geworden. Chance haben sie bei mir mit diesem Vorgehen natürlich 0, da es nur einen erlaubten benutzer gibt (nicht root, bin kein anfänger), und so ziemlich alles deaktiviert ist was ich nicht benötige. Eigentlich wollte ich mit fail2ban mich gegen solche aktionen schützen, leider funktioniert er auf dem server aber nicht da iptables nicht funktioniert. Jetzt schau ich hin und wieder rauf und sehe die langen auth-logs mit den hack-versuchen. Sind nervig, aber es sind keine die es unbedingt auf den server abgesehen haben.
Fast immer die gleiche ip, und die versuche finden ca. im 30-Minuten zyklus mit ein paar Versuchen statt. Ich würde gerne aber das ganze zumindestens teilweise eindämmen, und villeicht auch die leute zumindestens von wo sie kommen orten. Die IPs kommen teilweise von servern, die ich jetzt aber noch nicht veröffentliche.

Meine frage jetzt:, kann ich eine login-sperre für eine ip (maximal 1. Versuch alle 3 sekunden, nach 6 versuchen ip für 1/2 stunde sperren reintun (ohne iptable) ), und wie könnte ich schauen ob der server sicher noch nicht komprimiert ist. Auch wenn ausgehende Verbindungen dank des externen Firewalls sehr beschränkt sind. (nur zur sicherheit). Warscheinlich wird der server in ein paar monaten neu aufgesetzt, auf einer virtualisierung die iptables unterstützt, und von anfang an gleich funktioniert.

mfg. pointhi

EDIT:

hab gerade die IPs gecheckt. Alle bis auf 2 exestieren noch und sind server. Auf allen ist ein http-server installiert, aber nur 2 haben inhalte oben. Ein server hat die website eines südkoreanischen krankenhauses, die andere ist eine loginseite mit möglicherweise koreanischer schrift.
 
Zuletzt bearbeitet:
#2
Hi,

ich geh' mal davon aus, dass die Brute-Force Attacke auf ne SSH Remote Shell abzielt. Wenn das so ist, kannst Du natürlich dein SSH Login mit RSA sichern und nur Clients mit validem Schlüssel können sich einloggen.
http://www.linuxquestions.org/quest...setting-up-rsa-authentication-for-ssh-316584/

Ob man bestimmte IPs ausperren kann und denen eine Art Retry Counter geben kann weiß ich nicht. Das würde aber auch wenig bringen, da sich IPs natürlich ändern können (NAT, Proxies, etc.). Wenn jemand Deinen Account geknackt hat, kannst Du das schwer rausfinden. Der Mr.Cracker ist ja dann unter Deiner Kennung unterwegs. Du kannst dann nur durch das letzte Login rausfinden, ob Du das warst oder eben nicht.

Gruß,
OneOf6
 
Anzeige

Neue Beiträge

Anzeige