Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Tausende remote ROOT anmeldeversuche über SSH auf Webserver

Frage Linux Debian

Mitglied: itproject

itproject (Level 1) - Jetzt verbinden

17.05.2013 um 09:08 Uhr, 3386 Aufrufe, 13 Kommentare, 3 Danke

Hallo zusammen,

betreibe meinen eigenen Debian 6 Webserver.

Ich bekomme alle paar Sekunden Meldungen von Remotehosts die sich versuchen per SSH mit dem user root anzumelden:

01.
May 17 08:27:26 myhostname sshd[28906]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=mail.tmt-pcb.com.cn  user=root 
02.
May 17 08:27:28 myhostname sshd[28906]: Failed password for root from 61.160.76.123 port 53572 ssh2
Das ganze hab ich x 1000 in meinem Auth.log

Habe versucht dem ganzen per Fail2ban irgendwie entgegen zu wirken.
Leider zeigt das nicht wirklich Wirkung oder meine Einstellungen sind zu lasch.

Ich möchte login per root offen lassen, kann leider in der Firewall keine spezielle IP für den Login einstellen, da ich eventuell weltweit per ssh auf meinen server möchte ;)

Oder sollte ich den "root" per ssh sperren und mit nem normalen Benutzer einloggen und dann "su - root" ? Jedoch würde es nicht lange dauern und man würde versuchen den lokalen Benutzer + passwort zu erspähen.

Ich würde mich wirklich freuen, wenn der ein oder andere eine Idee oder Lösung für mich hätte, das ganze ist bis jetzt gut gegangen, dank sehr starkem Passwort etc ;)

Viele Grüße
itproject
Mitglied: SlainteMhath
17.05.2013 um 09:29 Uhr
Moin,

Password-Auth komplett verbieten und nur noch Login per private key zulassen - dann bist du auf der sicheren Seite. Zusätzlich noch login als root verbieten und stattdessen mit einem normalen User und su bzw sudo arbeiten (und den User evtl nicht gerade "Admin" nennen )

lg,
Slainte
Bitte warten ..
Mitglied: certifiedit.net
17.05.2013, aktualisiert um 09:41 Uhr
Hallo,

IP in der Firewall blockieren. Zur Not eben Country Blocking, wenn kein Traffi aus China zu erwarten ist.

Gruß
Bitte warten ..
Mitglied: ticuta1
17.05.2013 um 09:45 Uhr
Ist der HerkunftsIP immer gleich? 61.160.76.123?

inetnum: 61.160.76.120 - 61.160.76.127
netname: WUXI-TONGMENG-ELECTRONIC-CORP
descr: wuxi tongmeng dianzi co.,ltd
descr: Wuxi City
descr: Jiangsu Province
country: CN
admin-c: DUMY-RIPE
tech-c: DUMY-RIPE
changed: unread@ripe.net 20000101
status: ASSIGNED NON-PORTABLE
mnt-by: MAINT-CHINANET-JS
mnt-lower: MAINT-CHINANET-JS-WX
source: APNIC-GRS
remarks:
remarks: * THIS OBJECT IS MODIFIED
remarks: * Please note that all data that is generally regarded as personal
remarks: * data has been removed from this object.
remarks: * To view the original object, please query the RIPE Database at:
remarks: * http://www.ripe.net/whois
remarks:

Kannst du diese IP sperren?

LG,
ticuta1
Bitte warten ..
Mitglied: Frank
17.05.2013, aktualisiert um 09:46 Uhr
Hallo @itproject,

drei Sachen würde ich machen:

1) Denyhosts installieren, damit kannst du die Anzahl der Verbindungen zum SSH Dienst kontrollieren und ggf. blocken
apt-get install denyhosts
Siehe dazu auch http://www.cyberciti.biz/faq/block-ssh-attacks-with-denyhosts/

2) Den Root-Zugriff per Remote komplett verbieten und nur mit dem User einloggen (alternativ wie SlainteMhath empfohlen hat, nur über einen private Keys reingehen). Am Besten du benutzt statt "su -" generell den "sudo command" Befehl.
In der Datei "/etc/ssh/sshd_config":  
PermitRootLogin no
3) Du änderst den Standard SSH-Port von 22 auf irgendwas über 4000 (z.B. 4267). Damit wird der Rechner in der Regel nicht mehr/kaum noch gescannt.
In der Datei "/etc/ssh/sshd_config":  
Port 4267
Der Login dazu wäre dann: "ssh -p 4267 username@host".

Damit du dich jetzt aber wieder ganz normal ohne Portangabe per "ssh user@host" anmelden kannst legst du einfach in Dein Home Verzeichnis unterhalb von .ssh/ die Datei "config" mit folgenden Inhalt an:
01.
Host xyz1 
02.
Port 4267 
03.
User namexyz 
04.
 
05.
Host xyz2 
06.
Port 4267 
07.
User namexyz
Damit sollte Dein SSH recht gut abgesichert sein:

  • durch den "anderen Port" ist der SSH nur schwer zu finden
  • durch "PermitRootLogin no" gibts keine Root-Logins mehr
  • durch "DenyHosts" können die Angreifer nur noch wenige Versuche starten

Gruß
Frank
Bitte warten ..
Mitglied: fnord2000
17.05.2013 um 10:00 Uhr
Zitat von Frank:
2) Den Root-Zugriff per Remote komplett verbieten und nur mit dem User einloggen (alternativ wie SlainteMhath empfohlen hat,
nur über einen private Keys reingehen).

Ich würde das nicht als "alternativ" bezeichnen.
Meiner Meinung nach sollten SSH-Server grundsätzlich weder root-Zugriff noch Passwort-Anmeldung zulassen.
Also immer nur normaler User mit Keyfile.


3) Du änderst den Standard SSH-Port von 22 auf irgendwas über 4000 (z.B. 4267). Damit wird der Rechner in der Regel
nicht mehr/kaum noch gescannt.

Naja, wenn er "eventuell weltweit" auf seinen Server zugreifen möchte, dann könnte das evtl. Probleme machen. Mir ist noch nie eine Firewall begegnet, die den SSH-Port (zumindest nach draußen) blockt, während ich so einige kenne, die Zugriffe auf "beliebige" nicht-well-known Ports unterbinden. (In dem Fall benutze ich z.B. einen SSH-Tunnel/Portweiterleitung)
Das heißt er könnte bei einem zufälligen Port Gefahr laufen mal irgendwo nicht an seinen Server zu kommen.
Bitte warten ..
Mitglied: Lochkartenstanzer
17.05.2013 um 10:09 Uhr
Moin,

Die Tipps von Frank (und den anderen) reichen id.R. vollkommen um etwas Ruhe zu bekommen. Das wichtigste ist aber, root-login und password-authentifikation zu verbieten. Sofern das passiert ist und der private Schlüssel gut gewählt ist sollten einen die anmeldeversuche unkritisch sein, außer daß sie halt nerven und die logfiles vollmüllen.

Sofern man wirklich von "überallher" auf per ssh verbinden muß, sollte man den Standardport auf 22 lassen, weil das eben die wenigsten Probleme mit fremden Firewalls macht.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
17.05.2013, aktualisiert um 10:14 Uhr
Zitat von Frank:
3) Du änderst den Standard SSH-Port von 22 auf irgendwas über 4000 (z.B. 4267). Damit wird der Rechner in der Regel
nicht mehr/kaum noch gescannt.

Aber nur von den Skript-kiddies nicht mehr. Die Profis und Auftragshacker sind da gründlicher. Die lassen keinen Port aus und distributed scans sind ja heutzutage kein Problem mehr mit dem richtigen Botnetz.


Ist wie mit dem bildschirmschoner mit paßwortschutz. Das hält zwar die Putzfrau davon ab, mal schnell "die emails zu checken", aber den Datendieb, der es auf die Firmeninterna abgesehen hat, hält es nicht auf. (Der istalliert einen keylogger oder einen hdd-sniffer/duplizierer).


lks
Bitte warten ..
Mitglied: itproject
17.05.2013 um 10:56 Uhr
Hallo zusammen,

vielen Dank für die zahlreichen antworten.

Habe nun erstmal folgendes unternommen:

1. SSH Key erstellt, nur für 1 User (nicht root)
2. root login verboten

Damit habe ich erstmal die vielen Meldungen im Auth.log stoppen können ;)

Werde aber das ganze sicher noch verbessern - Port ändern etc!

Danke nochmal
Bitte warten ..
Mitglied: itproject
17.05.2013 um 10:58 Uhr
Ach ja, und natürlich allgemeine anmeldungen per Passwort verboten )))

Danke Euch!!!!
Bitte warten ..
Mitglied: Frank
17.05.2013, aktualisiert um 13:44 Uhr
Hallo @itproject,

Ich empfehle dir zusätzlich auch noch "Denyhosts" zu installieren (wie oben beschrieben, dauert ca. 2 Minuten). Damit kannst du die SSH Zugriffe auf deinem Server kontrollieren. Denyhosts sollte auf keinem System fehlen!

Gruß
Frank
Bitte warten ..
Mitglied: dog
17.05.2013, aktualisiert um 21:22 Uhr
Die Profis und Auftragshacker sind da gründlicher. Die lassen keinen Port aus

Vielleicht sollten wir dann TCPv6 einführen.
Mit 128-Bit Portnummern

Bitte warten ..
Mitglied: Lochkartenstanzer
18.05.2013, aktualisiert um 13:35 Uhr
Zitat von dog:
> Die Profis und Auftragshacker sind da gründlicher. Die lassen keinen Port aus

Vielleicht sollten wir dann TCPv6 einführen.
Mit 128-Bit Portnummern


Jepp.

wenn man denn endlich native-IPv6 am DSL-Anschluß und bei den Hostern bekommen würde und nicht über sixx o.ä tunneln müßte. Es werden zwar immer mehr Anbieter, aber das nützt nichts, wenn es nicht der ist, an den man gebunden ist.

lks

PS. Oder man verwendet Klopfzeichen um Einlaß an den Ports zu bekommen.
Bitte warten ..
Mitglied: itproject
21.05.2013 um 17:05 Uhr
Ach ja, ein super Tool ist : denyhosts, das ding erkennt automatisch viele Server, welche weiterhin versuchen irgendwie über SSH auf das system zu kommen, wirklich super, das märzt die letzten Versuche im auth.log aus ;)

Kann ich nur empfehlen!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Batch & Shell
gelöst Kurzfrage: SSH compare local with remote Folder (3)

Frage von certifiedit.net zum Thema Batch & Shell ...

Batch & Shell
Viele Grosse Files vom Webserver Backuppen per ssh (7)

Frage von sbsnewbie zum Thema Batch & Shell ...

Groupware
Newsletter Mails vom Webserver oder Mailserver versenden? (10)

Frage von Lakatusch zum Thema Groupware ...

Windows Server
Windows Remote App - Ausgabe in lokales Office (1)

Frage von fluluk zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...