Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Tausende remote ROOT anmeldeversuche über SSH auf Webserver

Frage Linux Debian

Mitglied: itproject

itproject (Level 1) - Jetzt verbinden

17.05.2013 um 09:08 Uhr, 3680 Aufrufe, 13 Kommentare, 3 Danke

Hallo zusammen,

betreibe meinen eigenen Debian 6 Webserver.

Ich bekomme alle paar Sekunden Meldungen von Remotehosts die sich versuchen per SSH mit dem user root anzumelden:

01.
May 17 08:27:26 myhostname sshd[28906]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=mail.tmt-pcb.com.cn  user=root 
02.
May 17 08:27:28 myhostname sshd[28906]: Failed password for root from 61.160.76.123 port 53572 ssh2
Das ganze hab ich x 1000 in meinem Auth.log

Habe versucht dem ganzen per Fail2ban irgendwie entgegen zu wirken.
Leider zeigt das nicht wirklich Wirkung oder meine Einstellungen sind zu lasch.

Ich möchte login per root offen lassen, kann leider in der Firewall keine spezielle IP für den Login einstellen, da ich eventuell weltweit per ssh auf meinen server möchte ;)

Oder sollte ich den "root" per ssh sperren und mit nem normalen Benutzer einloggen und dann "su - root" ? Jedoch würde es nicht lange dauern und man würde versuchen den lokalen Benutzer + passwort zu erspähen.

Ich würde mich wirklich freuen, wenn der ein oder andere eine Idee oder Lösung für mich hätte, das ganze ist bis jetzt gut gegangen, dank sehr starkem Passwort etc ;)

Viele Grüße
itproject
Mitglied: SlainteMhath
17.05.2013 um 09:29 Uhr
Moin,

Password-Auth komplett verbieten und nur noch Login per private key zulassen - dann bist du auf der sicheren Seite. Zusätzlich noch login als root verbieten und stattdessen mit einem normalen User und su bzw sudo arbeiten (und den User evtl nicht gerade "Admin" nennen )

lg,
Slainte
Bitte warten ..
Mitglied: certifiedit.net
17.05.2013, aktualisiert um 09:41 Uhr
Hallo,

IP in der Firewall blockieren. Zur Not eben Country Blocking, wenn kein Traffi aus China zu erwarten ist.

Gruß
Bitte warten ..
Mitglied: ticuta1
17.05.2013 um 09:45 Uhr
Ist der HerkunftsIP immer gleich? 61.160.76.123?

inetnum: 61.160.76.120 - 61.160.76.127
netname: WUXI-TONGMENG-ELECTRONIC-CORP
descr: wuxi tongmeng dianzi co.,ltd
descr: Wuxi City
descr: Jiangsu Province
country: CN
admin-c: DUMY-RIPE
tech-c: DUMY-RIPE
changed: unread@ripe.net 20000101
status: ASSIGNED NON-PORTABLE
mnt-by: MAINT-CHINANET-JS
mnt-lower: MAINT-CHINANET-JS-WX
source: APNIC-GRS
remarks:
remarks: * THIS OBJECT IS MODIFIED
remarks: * Please note that all data that is generally regarded as personal
remarks: * data has been removed from this object.
remarks: * To view the original object, please query the RIPE Database at:
remarks: * http://www.ripe.net/whois
remarks:

Kannst du diese IP sperren?

LG,
ticuta1
Bitte warten ..
Mitglied: Frank
17.05.2013, aktualisiert um 09:46 Uhr
Hallo @itproject,

drei Sachen würde ich machen:

1) Denyhosts installieren, damit kannst du die Anzahl der Verbindungen zum SSH Dienst kontrollieren und ggf. blocken
apt-get install denyhosts
Siehe dazu auch http://www.cyberciti.biz/faq/block-ssh-attacks-with-denyhosts/

2) Den Root-Zugriff per Remote komplett verbieten und nur mit dem User einloggen (alternativ wie SlainteMhath empfohlen hat, nur über einen private Keys reingehen). Am Besten du benutzt statt "su -" generell den "sudo command" Befehl.
In der Datei "/etc/ssh/sshd_config":  
PermitRootLogin no
3) Du änderst den Standard SSH-Port von 22 auf irgendwas über 4000 (z.B. 4267). Damit wird der Rechner in der Regel nicht mehr/kaum noch gescannt.
In der Datei "/etc/ssh/sshd_config":  
Port 4267
Der Login dazu wäre dann: "ssh -p 4267 username@host".

Damit du dich jetzt aber wieder ganz normal ohne Portangabe per "ssh user@host" anmelden kannst legst du einfach in Dein Home Verzeichnis unterhalb von .ssh/ die Datei "config" mit folgenden Inhalt an:
01.
Host xyz1 
02.
Port 4267 
03.
User namexyz 
04.
 
05.
Host xyz2 
06.
Port 4267 
07.
User namexyz
Damit sollte Dein SSH recht gut abgesichert sein:

  • durch den "anderen Port" ist der SSH nur schwer zu finden
  • durch "PermitRootLogin no" gibts keine Root-Logins mehr
  • durch "DenyHosts" können die Angreifer nur noch wenige Versuche starten

Gruß
Frank
Bitte warten ..
Mitglied: fnord2000
17.05.2013 um 10:00 Uhr
Zitat von Frank:
2) Den Root-Zugriff per Remote komplett verbieten und nur mit dem User einloggen (alternativ wie SlainteMhath empfohlen hat,
nur über einen private Keys reingehen).

Ich würde das nicht als "alternativ" bezeichnen.
Meiner Meinung nach sollten SSH-Server grundsätzlich weder root-Zugriff noch Passwort-Anmeldung zulassen.
Also immer nur normaler User mit Keyfile.


3) Du änderst den Standard SSH-Port von 22 auf irgendwas über 4000 (z.B. 4267). Damit wird der Rechner in der Regel
nicht mehr/kaum noch gescannt.

Naja, wenn er "eventuell weltweit" auf seinen Server zugreifen möchte, dann könnte das evtl. Probleme machen. Mir ist noch nie eine Firewall begegnet, die den SSH-Port (zumindest nach draußen) blockt, während ich so einige kenne, die Zugriffe auf "beliebige" nicht-well-known Ports unterbinden. (In dem Fall benutze ich z.B. einen SSH-Tunnel/Portweiterleitung)
Das heißt er könnte bei einem zufälligen Port Gefahr laufen mal irgendwo nicht an seinen Server zu kommen.
Bitte warten ..
Mitglied: Lochkartenstanzer
17.05.2013 um 10:09 Uhr
Moin,

Die Tipps von Frank (und den anderen) reichen id.R. vollkommen um etwas Ruhe zu bekommen. Das wichtigste ist aber, root-login und password-authentifikation zu verbieten. Sofern das passiert ist und der private Schlüssel gut gewählt ist sollten einen die anmeldeversuche unkritisch sein, außer daß sie halt nerven und die logfiles vollmüllen.

Sofern man wirklich von "überallher" auf per ssh verbinden muß, sollte man den Standardport auf 22 lassen, weil das eben die wenigsten Probleme mit fremden Firewalls macht.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
17.05.2013, aktualisiert um 10:14 Uhr
Zitat von Frank:
3) Du änderst den Standard SSH-Port von 22 auf irgendwas über 4000 (z.B. 4267). Damit wird der Rechner in der Regel
nicht mehr/kaum noch gescannt.

Aber nur von den Skript-kiddies nicht mehr. Die Profis und Auftragshacker sind da gründlicher. Die lassen keinen Port aus und distributed scans sind ja heutzutage kein Problem mehr mit dem richtigen Botnetz.


Ist wie mit dem bildschirmschoner mit paßwortschutz. Das hält zwar die Putzfrau davon ab, mal schnell "die emails zu checken", aber den Datendieb, der es auf die Firmeninterna abgesehen hat, hält es nicht auf. (Der istalliert einen keylogger oder einen hdd-sniffer/duplizierer).


lks
Bitte warten ..
Mitglied: itproject
17.05.2013 um 10:56 Uhr
Hallo zusammen,

vielen Dank für die zahlreichen antworten.

Habe nun erstmal folgendes unternommen:

1. SSH Key erstellt, nur für 1 User (nicht root)
2. root login verboten

Damit habe ich erstmal die vielen Meldungen im Auth.log stoppen können ;)

Werde aber das ganze sicher noch verbessern - Port ändern etc!

Danke nochmal
Bitte warten ..
Mitglied: itproject
17.05.2013 um 10:58 Uhr
Ach ja, und natürlich allgemeine anmeldungen per Passwort verboten )))

Danke Euch!!!!
Bitte warten ..
Mitglied: Frank
17.05.2013, aktualisiert um 13:44 Uhr
Hallo @itproject,

Ich empfehle dir zusätzlich auch noch "Denyhosts" zu installieren (wie oben beschrieben, dauert ca. 2 Minuten). Damit kannst du die SSH Zugriffe auf deinem Server kontrollieren. Denyhosts sollte auf keinem System fehlen!

Gruß
Frank
Bitte warten ..
Mitglied: dog
17.05.2013, aktualisiert um 21:22 Uhr
Die Profis und Auftragshacker sind da gründlicher. Die lassen keinen Port aus

Vielleicht sollten wir dann TCPv6 einführen.
Mit 128-Bit Portnummern

Bitte warten ..
Mitglied: Lochkartenstanzer
18.05.2013, aktualisiert um 13:35 Uhr
Zitat von dog:
> Die Profis und Auftragshacker sind da gründlicher. Die lassen keinen Port aus

Vielleicht sollten wir dann TCPv6 einführen.
Mit 128-Bit Portnummern


Jepp.

wenn man denn endlich native-IPv6 am DSL-Anschluß und bei den Hostern bekommen würde und nicht über sixx o.ä tunneln müßte. Es werden zwar immer mehr Anbieter, aber das nützt nichts, wenn es nicht der ist, an den man gebunden ist.

lks

PS. Oder man verwendet Klopfzeichen um Einlaß an den Ports zu bekommen.
Bitte warten ..
Mitglied: itproject
21.05.2013 um 17:05 Uhr
Ach ja, ein super Tool ist : denyhosts, das ding erkennt automatisch viele Server, welche weiterhin versuchen irgendwie über SSH auf das system zu kommen, wirklich super, das märzt die letzten Versuche im auth.log aus ;)

Kann ich nur empfehlen!
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
RDP die Tausendste
Frage von Torsten2010Windows Netzwerk4 Kommentare

Hallo liebe Gemeinde, seit geraumer Zeit geht das RDP zu zwei Win 7 Rechner nicht mehr. War auch nicht ...

Batch & Shell
Viele Grosse Files vom Webserver Backuppen per ssh
Frage von sbsnewbieBatch & Shell7 Kommentare

Moin Leude, folgende Frage. Ich habe einige grosse Backupfiles auf meinem Webserver und will alle mal runterladen. Ich habe ...

Apache Server
Apache Document root auf anderen lokalen Webserver umleiten
gelöst Frage von crackhawkApache Server4 Kommentare

Hallo Admins! Ich habe derzeit zwei Debian Server Zuhause laufen. Auf dem einen (192.168.0.10) ist Apache2 als Webserver installiert, ...

Batch & Shell
Kurzfrage: SSH compare local with remote Folder
gelöst Frage von certifiedit.netBatch & Shell3 Kommentare

Guten Abend Mit-Admins, kleine, vermutlich Freitagsfrage - wie vergleiche ich ein Verzeichnis xy mit einem Verzeichnis yx auf zwei ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 10 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 14 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 14 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 17 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...