Brute Force Attacke auf meinen SSHD?

Jan 'RedBully' Seiffert redbully at cc.fh-luh.de
Sat Sep 3 16:46:32 CEST 2005 

David C. Weichert schrieb:
> Liebe Listenleser,
> 
> ich saß so an meiner Workstation (hinter NAT Firewall, wo nur port 22
> offen ist) und stellte fest, dass der Traffic auf eth0 hoch ging und die
> Festplatten IO auch.
Ja LEDs sind manchmal Praktisch...

> 
> Als ich über jnettop feststellte, dass der sshd den traffic erzeugte,
> habe ich den erstmal gestoppt. Damit war der traffic weg und alles sieht
> erstmal normal aus. (Bis jetzt läuft der daemon auch nicht wieder).
> 
> Die IP von der ich glaube, dass das kam lautet: 69.44.157.22
> und DNS löste zu dem Zeitpunkt als alphadelts.net auf.
> 
> War das, was ich denke: eine brute force Attacke, um über ssh auf diesen
> Rechner zu kommen?

Ja, das war ein Sciptversuch in deinen Rechner zu kommen.
Wo der Windows Benutzer sich um die MS-Ports sorgt (445 u.ae.), sieht
das unter Unix eher so aus. Der Angreifer klappert in einem Subnetz
ueberall Port 22 ab, wo sich wer meldet wird versucht ssh aufzubauen,
wenn das Klappt werden wild (Std.-)Usernames durchprobiert, bis einer
Funzt, der kein Passwort gesetzt hat oder ein Passwort = Username war
oder vielleicht graebt der Angreiffer noch das Dictonary aus.

> Besteht die Möglichkeit, dass ein Einbruch
> stattgefunden hat?

Ich denke nicht, er war noch lustig am durchprobieren, da hast du den
sshd abgeklemmt. Aber sag niemels nie...

> Welche weitere security Maßnahmen kann ich
> sinnvollerweise treffen?

Hmmm.
Erstmal drueber nachdenken ob der sshd nach da draussen in die boese
weite Welt horchen soll. Naja, aber dazu ist die Antwort meisst ja, das
is ja das schoene an Unix ;)

Die Einstellungen deines SSHD kontrollieren (richtung
/etc/ssh/sshd_config, man sshd_config). Leider is der OpenSSHD da etwas
unterbesetzt an Einstellungsmoeglichkeiten, aber immerhin:
  * MaxAuthTries runtersetzen, du solltest dein Passwort kennen...
  * LoginGraceTime runterschrauben, wenn du nicht innerhalb von z.B. 30s
    eingelogt bist, reich die Rente ein
  * MaxStartups runtersetzen, du bist kein ssh-gateway, das is dein
    Privatrechner

Mach dich schlau welche User sich ueber ssh einlogen koennen (z.B. der
Testaccount deiner Schwester auf deinem Rechner), und welche nicht
(warsch. nobody, mail etc.), und welche Mechanismen verhindern, das sie
sich einloggen koennen (weil sie ein leeres Passwort haben etc.). Alles
was dir nicht Koscher vorkommt, sag dem sshd in der Config
'{Deny|Allow}Users' o. '{Deny|Allow}Groups' um sie vom login
auszuschliessen oder nicht.

Man kann die Username/Passwort-Auth Kombination ganz ausmachen,
stattdessen nur noch ueber Key authen (den du dann mit dir mitfuehren
(USB-Stick) muesstest, wenn "David nach Hause telefonieren..."). Dazu
"PasswordAuthentication" auf 'no' stellen.

So das waren die Spiele mit dem OpenSSHD.
Irgendwelche Login-Pausen kann man mit dem Leider nicht machen. Da muss
man, je nach dem wen der SSHD fragt, weiter hinten ansetzen. Wenn er
ueber login(1) geht, in /etc/login.defs "FAIL_DELAY" hochsetzen, wenn er
ueber PAM geht, oehm, ja, dann brauchst du ein PAM-Pausen-Modul und
musst das da irgendwie einstricken...

Man kann natuerlich seinem Port 22 auch mit iptables nen bischen
"pimpen". Wenn man zum Beispiel Verbindungen nur aus einem
"Vertrauenswuerdigem" Netz (Arbeit, Uni) zulaesst (tunnelt man halt erst
da hin (IpSec o. auch ssh), von da dann weiter). Sehr nette Spiele
koennen auch mit dem iptables recent-Modul gemacht werden
(<http://www.aumund.org/node/869>), eignetlich genau dass richtige gegen
diese Brut-Force-attacken.

Weitere Moeglichkeiten wie aktiv das Log scannen und dynamisch
iptables-regeln hinzufuegen / aktiv Gegenmassnahmen einleiten ueberlasse
ich der Phantasie des OP...

> Sollte man den Vorfall irgendwo zur Kenntnis
> bringen?
Hmmm, weiss nicht, musst du selber wissen.
Strafverfolgungsbehoerden und Internet, oehm, ja...
Normalerweise ist fuer sowas dann der Abusedesk da (whois
alphadelts.net), aber ob die sich ruehren.

> Am Ende der Mail habe ich noch einen Auszug aus meinem auth.log, der
> vielleicht Hinweise liefert.
> 
> Viele Grüße
> David
> 
Gruss
	Jan

[snip auth.log]
-- 
Thus spoke the master programmer:
"Though a program be but three lines long,
someday it will have to be maintained."

More information about the Linux mailing list