Guten Abend,
heute Nacht (19.07 gegen 4:00 Uhr) hat es jemand (aus Frankreich) geschaft auf den ersten Versuch über einen Benutzeraccount eines Kollegen auf unseren vServer Zugriff zu erlangen. Wie es dazu kommen konnte, konnte ich noch nicht klären, da der Kollege sich im Moment an der Ostsee rumtreibt. Die Logs besagen eindeutig, dass dieser User first-try Zugriff hatte, als kein Brute-Force lief und durch fail2ban hätte das wohl auch eine Weile gedauert (Server ist erst seit mitte Mai online). Bevor einer rummeckert: Der Server ist mit den gewöhnliche Standardmitteln gesichert.
Das Problem ist nun, dass über den Server ein netscan auf ein 168.176.*.* Netz in den Niederlanden durchgeführt wurde um SSH-Zugänge zu suchen und zu knacken. (6-8h lief das Ganze mit einem Trafficaufkommen von 4GB). Um so etwas nicht noch einmal vorkommen zu lassen, dachte ich mir, dass ich per IPTables die ausgehenden Verbindungen auf ein Minimum beschränken könnte, jedoch habe ich keine Ahnung, wie ich das machen könnte/muss.
Darum würde ich euch gerne bitten mir zu sagen, welche Regeln ich dafür verwenden muss, sofern so eine Beschränkung überhaupt möglich ist. Oder werden dadurch auch die eingehenden Verbindungen auf irgendeine Art und Weise, die ich mir nicht vorstellen kann, eingeschränkt?
Debian updates sollten uneingeschränkt möglich sein, also von dieser LImitierung ausgeschlossen werden.
Ich danke euch im Voraus für eure Hilfe.
Gruß
grubi
heute Nacht (19.07 gegen 4:00 Uhr) hat es jemand (aus Frankreich) geschaft auf den ersten Versuch über einen Benutzeraccount eines Kollegen auf unseren vServer Zugriff zu erlangen. Wie es dazu kommen konnte, konnte ich noch nicht klären, da der Kollege sich im Moment an der Ostsee rumtreibt. Die Logs besagen eindeutig, dass dieser User first-try Zugriff hatte, als kein Brute-Force lief und durch fail2ban hätte das wohl auch eine Weile gedauert (Server ist erst seit mitte Mai online). Bevor einer rummeckert: Der Server ist mit den gewöhnliche Standardmitteln gesichert.
Das Problem ist nun, dass über den Server ein netscan auf ein 168.176.*.* Netz in den Niederlanden durchgeführt wurde um SSH-Zugänge zu suchen und zu knacken. (6-8h lief das Ganze mit einem Trafficaufkommen von 4GB). Um so etwas nicht noch einmal vorkommen zu lassen, dachte ich mir, dass ich per IPTables die ausgehenden Verbindungen auf ein Minimum beschränken könnte, jedoch habe ich keine Ahnung, wie ich das machen könnte/muss.
Darum würde ich euch gerne bitten mir zu sagen, welche Regeln ich dafür verwenden muss, sofern so eine Beschränkung überhaupt möglich ist. Oder werden dadurch auch die eingehenden Verbindungen auf irgendeine Art und Weise, die ich mir nicht vorstellen kann, eingeschränkt?
Debian updates sollten uneingeschränkt möglich sein, also von dieser LImitierung ausgeschlossen werden.
Ich danke euch im Voraus für eure Hilfe.
Gruß
grubi
"iptables rate limit"
