Skip to content

Nervkram: Massenhaftes Raten von SSH-Passworten

Die massenhaften Versuche, SSH-Kennworte auf meinen Servern zu raten, fangen langsam an zu nerven.

Ich habe alle meine Accounts auf key-basierte Authentifizierung umgestellt, so dass das einfache Raten von Kennworten ziemlich aussichtslos ist.

Was aber nervt: Die Logfiles laufen voll.

Ich setze seit längerem schon fail2ban ein, das bremst diese unsinnigen Versuche zumindest aus.

Ich habe mich aber jetzt entschieden, ganze Adressbereiche direkt per iptables-Regel zu blocken. Damit ich ein besseres Gefühl dafür bekomme, welche Netzbereiche das betrifft, lasse ich mir jetzt für die nächsten Wochen mal von fail2ban E-Mailnachrichten zukommen.

Unter Debian-basierten Systemen ist das ganz einfach zu konfigurieren. Einfach eine Datei /etc/fail2ban/jail.local anlegen, die den folgenden Inhalt hat:

[DEFAULT]
action = %(action_mwl)s


Die restlichen Werte werden dann aus der Datei /etc/fail2ban/jail.conf übernommen. So bekommt der lokale Root-User die Mails und über eine generelle Weiterleitung dann auch ich aufs Handy.

Die Mails sehen dann z.B. so aus:

Hi,

The IP 223.4.208.188 has just been banned by Fail2Ban after
6 attempts against ssh.


Here are more information about 223.4.208.188:

% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 223.4.0.0 - 223.7.255.255
netname: ALIBABA-CN-NET
descr: Alibaba (China) Technology Co., Ltd.
descr: No.699, Wangshang RD., Hangzhou, China
country: CN
admin-c: ZM678-AP
tech-c: ZM678-AP
mnt-by: MAINT-CNNIC-AP
mnt-lower: MAINT-CNNIC-AP
mnt-routes: MAINT-CNNIC-AP
mnt-irt: IRT-CNNIC-CN
changed: hm-changed@apnic.net 20090122
status: ALLOCATED PORTABLE
source: APNIC

person: Shuo Yu
address: 5F, Builing D, the West Lake International Plaza of S&T
address: No.391 Wen'er Road, Hangzhou City
address: Zhejiang, China, 310099
country: CN
phone: +86-0571-85022600
fax-no: +86-0571-85022600
e-mail: shuo.yus@alibaba-inc.com
e-mail: shuo.yus@aliyun-inc.com
nic-hdl: ZM678-AP
mnt-by: MAINT-CNNIC-AP
changed: ipas@cnnic.net 20110614
source: APNIC


Danach kommen dann noch die Einträge aus dem Logfile:

...
sshd[10300]: Failed password for invalid user web from 223.4.208.188 port 53718 ssh2
sshd[10301]: Failed password for invalid user web from 223.4.208.188 port 45457 ssh2
...


Und dieser IP-Range wird jetzt erstmal ausgesperrt.

Trackbacks

nike tn pas cher am : nike tn pas cher

Vorschau anzeigen
Svens blog | Artikel mit Tag debian

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

ccgx am :

Hast du schon einmal daran gedacht SSH auf einen anderen Port zu legen? Das wirkt tatsächlich wunder, hab keinen einzigen solchen Versuch mehr seit ich das gemacht habe gehabt...

Sven Thomsen am :

Ja, hatte ich überlegt. Ich habe mich aber dagegen entschieden, weil ich einfach zu viele Anwendungen/Skripte laufen habe, denen ich dann den neuen Port irgendwo mitgeben müsste.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Formular-Optionen