[gentoo-user-de] Autoresponder für ssh-logins

[gentoo-user-de] Autoresponder für ssh-logins

[Wolfgang Jankowski]

Hallo zusammen,

meine Firewall meldet regelmäßig Einwahlversuche per ssh. Es sind wohl 
irgendwelche Einbrecher oder so, die alees austesten.

Wenn ich den Zielrechner mit Pings überdecke, dann hört er nach einer Weile 
auf. Versuche ich jedoch einen ssh-login auf seinem Rechner, so ist *sofort* 
Ruhe.
Daher meine Frage: gibt es ein Programm, dass nach einigen erfolglosen 
Einwahlversuchen seinerseits mit kontrollierten Aktionen reagiert? Ich bin 
schliesslich nicht immer in der Nähe und kann die Los sehen.

Tschüß
Wolfgang

Re: [gentoo-user-de] Autoresponder für ssh-logins

[Bernd Wurst]

[-- Attachment #1: Type: text/plain, Size: 2010 bytes --]

Hallo.

Am Mittwoch, 11. März 2009 schrieb Wolfgang Jankowski:
> meine Firewall meldet regelmäßig Einwahlversuche per ssh. Es sind wohl
> irgendwelche Einbrecher oder so, die alees austesten.

Vermutlich einfache Bots, die auf versehentlich gesetzte Default-Passwörter in 
alten Distributionen aus sind oder poplige Wörterbuchattacken durchführen.
Nichts von Bedeutung.


> Wenn ich den Zielrechner mit Pings überdecke, dann hört er nach einer Weile
> auf. Versuche ich jedoch einen ssh-login auf seinem Rechner, so ist
> *sofort* Ruhe.
> Daher meine Frage: gibt es ein Programm, dass nach einigen erfolglosen
> Einwahlversuchen seinerseits mit kontrollierten Aktionen reagiert? Ich bin
> schliesslich nicht immer in der Nähe und kann die Los sehen.

Gegenfrage:
Was stört dich an diesen Bots?

Hast du Passwörter, die man durch erraten herausfinden kann? Dann ändere 
diese!
Können sich an deinem System Benutzer anmelden die sich eigentlich gar nicht 
anmelden können? Dann reduziere die SSH-erlaubten Benutzer auf die 
verwendeten Benutzergruppen.
Hast du ein veraltetes System? Dann update.


Die Meldung einfacher (aber wenig erfolgversprechender) Verbindungsversuche 
gehört eigentlich zum Repertiore von Kauf-Firewalls, damit der Benutzer immer 
schön das Gefühl hat, das Geld richtig investiert zu haben (wo viel gemeldet 
wird, würde andernfalls ganz bestimmt viel schiefgehen).

Das Logfile eines Servers von Gestern (24-Stunden-Zeitraum) sieht z.B. so aus:
# grep '\(Failed password for\|no such user\)' /var/log/auth.log|wc -l
4090


Oder um konstruktiv zu bleiben:
Eine Firewall die sowas melden kann, sollte doch statt der Meldung auf was 
ausführen können. 
Die von-hinten-durch-die-Brust-ins-Auge-Methode wäre, die Benachrichtigungs- 
Mail an eine Adresse zu senden, die bei Maileingang ein Script startet.

Alternativ: Logwatch bzw. tenshi sollten doch sowas können.

Gruß, Bernd

-- 
OS/2 - Wo ist die andere Hälfte?

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 835 bytes --]

Re: [gentoo-user-de] Autoresponder für ssh-logins

[Christian Bricart]

Wolfgang Jankowski schrieb:
> Hallo zusammen,
> 
> meine Firewall meldet regelmäßig Einwahlversuche per ssh. Es sind wohl 
> irgendwelche Einbrecher oder so, die alees austesten.
> 
> Wenn ich den Zielrechner mit Pings überdecke, dann hört er nach einer Weile 
> auf. Versuche ich jedoch einen ssh-login auf seinem Rechner, so ist *sofort* 
> Ruhe.
> Daher meine Frage: gibt es ein Programm, dass nach einigen erfolglosen 
> Einwahlversuchen seinerseits mit kontrollierten Aktionen reagiert? Ich bin 
> schliesslich nicht immer in der Nähe und kann die Los sehen.

Warum tust du dir (und deinen Logs) sowas überhaupt an..?

bindest du in deine iptables-Regeln das ipt_recent[1] Modul ein (ist 
mittlerweile Teil des standard iptables Pakets [2]) und Ruhe ist im Karton.
Und die DROP-Regel sollte den angreifenden Rechner ausreichend 
beschäftigen, dass er nicht noch andere Rechner abgrasen kann.

Alternativ sei dir für den Uservpace z.B. denyhosts[2] ans Herz gelegt. 
(gibt auch noch andere Tools)

[1] http://www.snowman.net/projects/ipt_recent/
[2] man 8 iptables -> /recent
[3] http://denyhosts.sourceforge.net/

Christian

Re: [gentoo-user-de] Autoresponder für ssh-logins

[Wolfgang Jankowski]

Hallo,
> Gegenfrage:
> Was stört dich an diesen Bots?
Auch eine Gegenfrage:
Wenn ständig bei dir einer klingelt oder dein Schloss knacken will, was stört 
dich dann?
Nur weil es viele machen, ich es nicht ok.

> Oder um konstruktiv zu bleiben:
> Eine Firewall die sowas melden kann, sollte doch statt der Meldung auf was
> ausführen können.
Meinst du damit das QUEUE-Target?

Tschüß
Wolfgang

Re: [gentoo-user-de] Autoresponder für ssh-logins

[Wolfgang Jankowski]

Hallo,

> Warum tust du dir (und deinen Logs) sowas überhaupt an..?
Ich bin nun einmal neugierig, aber diese Frage hat etwas.

>
> bindest du in deine iptables-Regeln das ipt_recent[1] Modul ein (ist
> mittlerweile Teil des standard iptables Pakets [2]) und Ruhe ist im Karton.
> Und die DROP-Regel sollte den angreifenden Rechner ausreichend
> beschäftigen, dass er nicht noch andere Rechner abgrasen kann.
DROP läuft ja schon zusammen mit limit/burst.
recent scheint etwas zu sein. Das werde ich mir anlesen.

Tschüß
Wolfgang

Re: [gentoo-user-de] Autoresponder für ssh-logins

[Bernd Wurst]

[-- Attachment #1: Type: text/plain, Size: 2548 bytes --]

Hallo.

Am Mittwoch, 11. März 2009 schrieb Wolfgang Jankowski:
> > Gegenfrage:
> > Was stört dich an diesen Bots?
> Auch eine Gegenfrage:
> Wenn ständig bei dir einer klingelt oder dein Schloss knacken will, was
> stört dich dann?
> Nur weil es viele machen, ich es nicht ok.

Klingeln stört mich aus naheliegenden Gründen. Aber mich würde es auch stören 
wenn meine Firewall immer bei sowas klingeln/nerven würde. Vielleicht hab ich 
deshalb keine. ;-)

Beim Haustürschloss ist es i.A. so, dass die Sicherheit *wesentlich* hinter 
der eines SSH-Servers zurück liegt, nicht wirklich vom gewählten Schlüssel 
abhängt und nicht kostenneutral alles halbe Jahr auf den neuesten technischen 
Stand gebracht werden kann. Türschlüsser die sich mit einem handelsüblichen 
Pickset und ein paar Stunden Training öffnen lassen sind sehr weit 
verbreitet.
Der Vergleich ist also blöd, weil man beim Haustürschloss echte Angst haben 
darf, wenn da einer professionell dran rum fummelt.

Ich kenne aber keinen, der von sich behaupten würde, dass er eine wesentliche 
Zahl an (aktiv administrierten) SSH-Servern knacken könnte.

Beim SSH-Server kann man sich zudem halbweg sicher sein, dass automatische 
Bots tausende andere Ziele finden, die schlechte Passwörter verwenden. Man 
ist kein lohnendes Ziel für anonyme Angriffe. Andere Wege an Zugang zu kommen 
(Social Hacking, ...) sind vermutlich erfolgversprechender.


Warum wird eigentlich immer wieder Digitales (immateriell) mit real-life-Krams 
(materiell) verglichen? Sind doch völlig andere Voraussetzungen. Sowohl der 
mögliche (Kollateral-)Schaden ist ganz anderer Natur als auch die Ressourcen 
sind ganz anders verteilt. Den Einbrecher will ich sehen, der tausend Türen 
gleichzeitig aufzusperren versucht und dabei vollständig von einer 
Pazifik-Insel aus operiert.

Vergleich's lieber mit dem Rundgang auf einem Parkplatz um zu schauen ob Autos 
nicht abgeschlossen wurden. Das kommt der Sache IMHO näher und ist ebenfalls 
unverfänglich.


> > Oder um konstruktiv zu bleiben:
> > Eine Firewall die sowas melden kann, sollte doch statt der Meldung auf
> > was ausführen können.
> Meinst du damit das QUEUE-Target?

Nein. Ich meine damit, dass eine Firewall die wie auch immer etwas meldet 
(muss ja dann was größeres sein, IPtables schreibt ja maximal Logs) eben so 
umfangereich sein sollte, dass eben auch entsprechend auf "Angriffe" reagiert 
werden kann.

Gruß, Bernd

-- 
__ __ __ __ __ __/|||||||||  Der Domino-Effekt bei der Arbeit.

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 835 bytes --]

Re: [gentoo-user-de] Autoresponder für ssh-logins

[Bertrand Bremen]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


> meine Firewall meldet regelmäßig Einwahlversuche per ssh. Es sind wohl
> irgendwelche Einbrecher oder so, die alees austesten.

wie sieht denn eine firewall aus die so etwas tatsächlich meldet?
da würde man doch permanent nur mit sinnlosen nachrichten zugemüllt werden.

- --
Bertrand Bremen <bremen@cip.physik.uni-freiburg.de>
CIP-Pool Administration
Physikalisches Institut, Universitaet Freiburg i.Br.
http://cip.physik.uni-freiburg.de/

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFJuCXochbib46zxGsRAhG+AJ9owqdQskEo29TWRQc6WhCY8jV0RwCfZDLW
CZjFyLSNOZ74V1alS8esgqg=
=ursX
-----END PGP SIGNATURE-----

AW: [gentoo-user-de] Autoresponder für ssh-logins

[Frank Loewe]

Das sind eher irgendwelche bereits in Mehrzahl geknackte/infizierte Server/Rechner mit Bots.

>Wenn ich den Zielrechner mit Pings überdecke, dann hört er nach einer Weile 
>auf.

Klasse Idee. Du beantwortest auch eine DOS Attacke mit einer DOS Attacke?
Sorry wenns so ist, haben wir das mit 15 mal gemacht. :-)

Wenn deine Firewall das doch meldet... Hast Du SSH überhaupt freigegeben nach aussen?
Wenn nein, schalt das blöde logging ab. Warum soll das Ding etwas melden, was praktisch nicht geht???
Anfragen die eh ins leere gehen müssen mich nun interessieren?
	
Wenn Du SSH von aussen brauchst, ändere den Port auf 947 oder sonstwas. Dann ist auch Ruhe im Karton.

@Bernd
> Nein. Ich meine damit, dass eine Firewall die wie auch immer etwas meldet (muss ja dann was größeres sein, IPtables >schreibt ja maximal Logs) eben so umfangereich sein sollte, dass eben auch entsprechend auf "Angriffe" reagiert werden >kann.

Das ist nicht Aufgabe einer Firewall. Ausgefeilte IPS/IDS Systeme sind da eher in der Lage. 
Aber ob das etwas größeres ist, frage ich ja oben schon an. Login versuche auf tote Ports ist nichts, sondern normal heutzutage.

Zitat Wikipedia zum Thema Firewall:
Von Regelverstößen einmal abgesehen, besteht die Funktion einer Firewall nicht darin, Angriffe zu erkennen und zu verhindern. Sie besteht lediglich darin, nur bestimmte Kommunikationsbeziehungen – basierend auf Absender- oder Zieladresse und genutzten Diensten – zu erlauben.

Back to Topic:

Ich würde allerdings mit z.B. Nagios das Logfile überwachen, und damit dann on demand eine Aktion auslösen lassen, falls die gesuchte Information im Log auftritt. Nur falls es ums Prinzip geht. Das sollte mit einem einfachen Plugin welcher die Quell-IP-Informationen parsed machbar sein.

Gruß
Frank

-----Ursprüngliche Nachricht-----
Von: Wolfgang Jankowski [mailto:Wolfgang.Jankowski@gmx.de] 
Gesendet: Mittwoch, 11. März 2009 19:37
An: gentoo-user-de@lists.gentoo.org
Betreff: [gentoo-user-de] Autoresponder für ssh-logins

Hallo zusammen,

meine Firewall meldet regelmäßig Einwahlversuche per ssh. Es sind wohl 
irgendwelche Einbrecher oder so, die alees austesten.

Wenn ich den Zielrechner mit Pings überdecke, dann hört er nach einer Weile 
auf. Versuche ich jedoch einen ssh-login auf seinem Rechner, so ist *sofort* 
Ruhe.
Daher meine Frage: gibt es ein Programm, dass nach einigen erfolglosen 
Einwahlversuchen seinerseits mit kontrollierten Aktionen reagiert? Ich bin 
schliesslich nicht immer in der Nähe und kann die Los sehen.

Tschüß
Wolfgang

Re: AW: [gentoo-user-de] Autoresponder für ssh-logins

[Sandy Marko Knauer]

Am Mittwoch 11 März 2009 21:38:26 schrieb Frank Loewe:
> Das sind eher irgendwelche bereits in Mehrzahl geknackte/infizierte
> Server/Rechner mit Bots.
>
> >Wenn ich den Zielrechner mit Pings überdecke, dann hört er nach einer
> > Weile auf.
>
> Klasse Idee. Du beantwortest auch eine DOS Attacke mit einer DOS Attacke?
> Sorry wenns so ist, haben wir das mit 15 mal gemacht. :-)
>
> Wenn deine Firewall das doch meldet... Hast Du SSH überhaupt freigegeben
> nach aussen? Wenn nein, schalt das blöde logging ab. Warum soll das Ding
> etwas melden, was praktisch nicht geht??? Anfragen die eh ins leere gehen
> müssen mich nun interessieren?
>
> Wenn Du SSH von aussen brauchst, ändere den Port auf 947 oder sonstwas.
> Dann ist auch Ruhe im Karton.
>
> @Bernd
>
> > Nein. Ich meine damit, dass eine Firewall die wie auch immer etwas meldet
> > (muss ja dann was größeres sein, IPtables >schreibt ja maximal Logs) eben
> > so umfangereich sein sollte, dass eben auch entsprechend auf "Angriffe"
> > reagiert werden >kann.
>
> Das ist nicht Aufgabe einer Firewall. Ausgefeilte IPS/IDS Systeme sind da
> eher in der Lage. Aber ob das etwas größeres ist, frage ich ja oben schon
> an. Login versuche auf tote Ports ist nichts, sondern normal heutzutage.
>
> Zitat Wikipedia zum Thema Firewall:
> Von Regelverstößen einmal abgesehen, besteht die Funktion einer Firewall
> nicht darin, Angriffe zu erkennen und zu verhindern. Sie besteht lediglich
> darin, nur bestimmte Kommunikationsbeziehungen – basierend auf Absender-
> oder Zieladresse und genutzten Diensten – zu erlauben.
>
> Back to Topic:
>
> Ich würde allerdings mit z.B. Nagios das Logfile überwachen, und damit dann
> on demand eine Aktion auslösen lassen, falls die gesuchte Information im
> Log auftritt. Nur falls es ums Prinzip geht. Das sollte mit einem einfachen
> Plugin welcher die Quell-IP-Informationen parsed machbar sein.
>
> Gruß
> Frank
>
> -----Ursprüngliche Nachricht-----
> Von: Wolfgang Jankowski [mailto:Wolfgang.Jankowski@gmx.de]
> Gesendet: Mittwoch, 11. März 2009 19:37
> An: gentoo-user-de@lists.gentoo.org
> Betreff: [gentoo-user-de] Autoresponder für ssh-logins
>
> Hallo zusammen,
>
> meine Firewall meldet regelmäßig Einwahlversuche per ssh. Es sind wohl
> irgendwelche Einbrecher oder so, die alees austesten.
>
> Wenn ich den Zielrechner mit Pings überdecke, dann hört er nach einer Weile
> auf. Versuche ich jedoch einen ssh-login auf seinem Rechner, so ist
> *sofort* Ruhe.
> Daher meine Frage: gibt es ein Programm, dass nach einigen erfolglosen
> Einwahlversuchen seinerseits mit kontrollierten Aktionen reagiert? Ich bin
> schliesslich nicht immer in der Nähe und kann die Los sehen.
>
> Tschüß
> Wolfgang

Ich habe jetzt nicht alles gelesen aber teste doch mal fail2ban.
*  net-analyzer/fail2ban
Als ich noch ein webserver via dyndns betrieben hatte, hatte ich auch sehr 
viele botscracker auf meinem rechner und wollte sie mit einem eigenen script 
vertreiben bis ich fai2ban endeckt habe. Mein script, wenn gewünscht suche ich 
mal raus und kann es hier schicken.

Viel Glück
Gruß
Sandy Marko Knauer