dropbear ssh angriffe

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
T

tele66

Neuer User
Mitglied seit
19 Nov 2008
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
Hallo,
zuletzt hatte ich haufenweise im Syslog meiner 7390 mit Freetz und dropbear folgendes :
Code: 
Feb 14 13:46:07 fritz authpriv.info dropbear[3028]: Exit before auth (user 'root', 1 fails): Disconnect received
Feb 14 13:46:07 fritz authpriv.info dropbear[3029]: Child connection from 61.55.191.xxx:41079
Feb 14 13:46:11 fritz authpriv.info dropbear[3029]: Exit before auth (user 'root', 1 fails): Disconnect received
Feb 14 13:46:11 fritz authpriv.info dropbear[3030]: Child connection from 61.55.191.xxx:41344
Feb 14 13:46:15 fritz authpriv.info dropbear[3030]: Exit before auth (user 'root', 1 fails): Disconnect received
Feb 14 13:46:16 fritz authpriv.info dropbear[3031]: Child connection from 61.55.191.xxx:41578
Ich habe über dyndns eine feste Adresse für meine Fritzbox und offensichtlich versucht da jemand über meinen offenen Port 22 SSH einzudringen.
Das geht natürlich nicht, da ich keyfile-Authorisierung verwende.
Allerdings : Während diese Angriffe stattfanden, kam ich selbst nicht mehr auf meine Box von aussen.
Meine Fragen :
1. kann es sein, dass diese Brute-Force-Attacke im 3 bis 4-Sekunden -Takt den Zugriff von aussen total blockiert ? ( nach 15 Fehlversuchen sperrt meine Box die IP aus, aber die haben dann sofort auf eine neue IP gewechselt mit den Attacken )
2. wenn ich auf einen anderen Port als den Standard-Port 22 ausweiche, z.B. 12345, ist es dann möglich mit einem Portscanner festzustellen, welcher Dienst hinter dem offenen Port läuft ? habe ich dann aller Vorraussicht nach vor solchen Angriffen aus China und sonstwo Ruhe ?
Wie macht Ihr das bzw. was sind da Eure Erfahrungen ?
Gruss
 
Ein Verlegen des Ports schafft nach meiner Erfahrung Ruhe. Als Alternative gibts Port-Knocking, was aber wieder mit Aufwand verbunden ist.

Gruß
Oliver
 
Hallo,

eine alternative Möglichkeit ist das Beschränken des Zugriffs auf den (SSH-)Port (22) auf bestimmte IP-Adressen mit iptables. Hat allerdings ggfs. einige "Forschungsarbeit" beim Finden der entsprechenden Adressen zur Folge.
Grüße,

JD.
 
Moin,

Zu 1)
Ja, das kann leider schon so sein.

Zu 2)
Wenn ein Port interessant erscheint ist es eigentlich kein Problem herauszufinden was da läuft.
Die simpelste Methode ist ein telnet auf den Port, probiers mal selber aus.

olistudent schrieb:
Ein Verlegen des Ports schafft nach meiner Erfahrung Ruhe.
Zum Vergrößern anklicken....
Find ich auch, 222, 2222 oder 22222 bieten sich da an ;)

olistudent schrieb:
Als Alternative gibts Port-Knocking, was aber wieder mit Aufwand verbunden ist.
Zum Vergrößern anklicken....
Was ist denn dass?

Meine Tips:
Am besten dropbear nur zu bestimmten Zeiten starten/stoppen die nur du kennst.
oder
Lösche per Cronjob /dev/pts/0 bis 7 und erzeuge /dev/pts/0 auch per Cronjob um Zeiten wo du auf deine Kiste zugreifen möchtest.
(gelingt das Login, bekommt der Angreifer aber trotzdem keine Shell und hängt nur am Port und kann nix machen)
Was auch/zusätzlich geht: Benenne in /etc/passwd root in theq um oder so ;)
(Hauptsache ein Name der nicht sooo einfach zu erraten ist)

Viel Erfolg, wünscht

koy
 
Zuletzt bearbeitet:
Inzwischen gab es auch Berichte, dass Anmeldungen auf abweichenden Ports versucht wurden. Diese Versuche sind aber immer noch deutlich seltener als auf dem regulären Port.
 
sf3978 schrieb:
Das will ich probieren. Kannst Du mir sagen, auf welchen Port?
Zum Vergrößern anklicken....
klar
Nehmen wir mal an du hast auf localhost seinen Port 22 was am laufen:
Code: 
telnet -a 127.0.0.1 22
dann kommt sowas raus:
Code: 
SSH-2.0-dropbear_0.52
Connection closed by foreign host
Was könnte denn auf dieser IP:pORT laufen?
Code: 
telnet -a 192.168.1.18 21
...siehe da:
Code: 
220 FileZilla Server version 0.9.33 beta
421 Login time exceeded. Closing control connection.
Connection closed by foreign host
....reicht das?


koy
 
Zuletzt bearbeitet:
Gegen diese "Textmeldungen" gibt es bei "großen" Server die Möglichkeit, die Banner abzuschalten. Dann kann der Angreifer ziemlich lange erraten. Dies würde ich übrigens per see empfehlen zu machen. Auch bei standard-Ports. Dann weiß der Angreifer nicht, ob er im Falle FTP mit einem bftpd oder vsftpd zu tun hat. Anhand des Banners errät er sogar die Version, was noch viel gravierender ist.
Es wäre also herauszufinden, an welcher Stelle man bei unseren FREETZ-Paketen die Banner deaktivieren kann.

MfG
 
@sf3978: Er hat recht, du kannst einige Dienste anhand deren Banner aufspüren. Daher wäre es ratsam, die Banner abzuschalten. Auch POP/IMAP/SMTP produzieren solche Banner. Darum hatte ich auf einem "großen" Server bei STRATO diese Banner so unkenntlich gemacht, dass man daraus nicht erlesen kann, was für ein Dienst daran lauscht.

MfG
 
Hehe, moin

sf3978 schrieb:
Nein, das reicht nicht, weil Du nicht feststellen kannst auf welchem Port mein Server lauscht.
Zum Vergrößern anklicken....
sf3978 schrieb:
Ja, aber nur wenn man den lauschenden Port kennt bzw. wenn der lauschende Port, für jede fremde IP-Adresse von außen erreichbar ist.
Zum Vergrößern anklicken....
Die Beispiele beziehen sich auf lokale IP's weil ich da nicht erst scannen muss, ich weiss ja was da läuft.
(65535 Ports mit telnet scannen dauert bestimmt Wochen, Monate, Jahre, denn auch in einer Shellskriptschleife muss auf eine Antwort gewartet werden)
Die lassen ja üblicherweise auch erst nmap, pscan und Konsorten auf die IP los, erst wenn sie was gefunden haben (ports) ist z.B. telnet dran.
Wie solche Tools eingesetzt werden möchte ich hier nicht zeigen.
Von Internetseite aus kannst du aber gerne mal Gibson Researchs Shieldsup benutzen und deine ersten 1000 Ports scannen lassen.
(Navigation oben links - Services - Shieldsup, bestätigen und All Serviceports anklicken, zurücklehnen und hoffen du bist Hellgrün)

Zurück zum Thema:
Wie Oliver und meine Wenigkeit schon angedeutet haben:
Nur wer seine Systeme in hohen Maße individualisiert, sprich von der allgemeinen Konformität abweicht, ist 'etwas' sicherer unterwegs als der Rest.
Das geht natürlich mit Linux einfacher/besser als mit Windows. ;)
Immernoch und nicht umsonst ist Linux <<das>> Betriebssystem für Netzwerker!

In diesem Sinne:
Behaltet eure Logfiles im Auge und scannt zurück ;)

koy
 
Zuletzt bearbeitet:
Hallo,
erstmal danke für die Aufklärung und die vielen Tipps.
Zusammenfassend heisst das für mich dann, auf alle Fälle den Port wechseln ( und hoffen, dass unsere Firewall mich dann raus lässt ) und evtl. sofern möglich über Freetz das "Banner" abschalten.
Die Sache mit dem Port-Knocking überlege ich mir auch mal, mal schauen, ob das recht umständlich einzurichten ist. Die Möglichkeit mit den IP-Tables scheidet bei mir aus und ist auch recht umständlich einzurichten auf der Fritzbox. Dropbear mittels cron nur tagsüber laufen zu lassen ist natürlich auch eine Überlegung wert.
Das erwähnte umbenennen des Users root oder das anlegen neuer User ( und root sperren ) wäre natürlich auch eine Möglichkeit, verhindert aber ja nicht, dass mir die ständigen Attacken den eigenen Zugriff verhindertn. Abgesichert habe ich das ganze ja über key-File, es kommt als eh keiner rein ( auch nicht root ).
Ansonsten ginge ja noch VPN.

Weiss jemand, wie man bei Freetz diese Banner abschalten kann ???
 
Hallo zusammen,

zum Stichwort (Lausch-)Port umlegen wollte ich nur kurz der Vollständigkeit halber anmerken, was immer mal wieder in diesem Forum zu Recht bemerkt wird: Wenn ich mich mal von außen auf meine Box verbinden will (z.B. durch eine Firewall, über einen Proxy o.Ä.) und das durch einen Aufruf á la
Code: 
ssh -l user ip-der-box:12345
realisiert werden soll könnte es sein, daß das fehlschlägt. Eben weil bspw. Port 12345 nicht durchgereicht wird, weil er eben kein Standard-Port ist.
Will heißen: Möglicherweise sperre ich mit einer Port-Umlegung, je nach Produktiv-Szenario, erst mal mich selber aus.
Grüße,

JD.

P.S.: Eine Beschränkung des SSH-Zugangs auf ein IP-Subnetz kostet in iptables exakt eine Zeile.
Grüße,

JD.
 
Hallo,
JohnDoe42 schrieb:
Eine Beschränkung des SSH-Zugangs auf ein IP-Subnetz kostet in iptables exakt eine Zeile.
Zum Vergrößern anklicken....
Es ist auf jeden Fall eine gute idee mal solche Regeln auszuprobieren.
Dabei denke ich das dann (sinngemäß) sowas ganz gut funktionieren könnte:

ERLAUBE von.zuhau.se
ERLAUBE von.der.arbe.it
ERLAUBE vom.smart.fon
VERBIETE alles.andere

oder?

koy
 
Zuletzt bearbeitet:
koyaanisqatsi schrieb:
ERLAUBE von.zuhau.se
ERLAUBE von.der.arbe.it
ERLAUBE vom.smart.fon
VERBIETE alles.andere
Zum Vergrößern anklicken....

Das funktioniert bestens, wobei natürlich, je nach Größe des Netzes der.arbe.it und vom.smart.fon immer noch theoretisch mehr als einer Zugriff haben könnte ... aber das ist halt ein ähnliches Restrisiko wie sonst auch ... und fürs Telefon kann man, wenn Paranoia vorherrscht, sicherlich auch einen Portknocking-Mechanismus überlegen. Oder mittels iptables auch, wenn die Angriffe immer aus einem bestimmten Netz kommen, sowas hier (also z.B. in Antwort auf den TE alles von China Unicom, 61.55.0.0/16)
Grüße,

JD.
 
Zuletzt bearbeitet:
Code: 
telnet -a 192.168.1.18 21
habe das mal auf meine IP von aussen getestet und prompt kommt zurück :
Code: 
SSH-2.0-dropbear_2012.55
Verbindung zu Host verloren
Kann man das irgendwie abstellen ?
 
Zuletzt bearbeitet:
Das steht doch hier .... (!?)

Aber wieso kümmerst Du Dich um die Nebenkriegsschauplätze, statt Dich ordentlich aufzustellen ? Beschränke den Zugang zum SSH-Server Deiner Box, lege den Port um, benutze Zertifikate, benutze Port-Knocking, was auch immer.
Ein Restrisiko wird bleiben.
Also erstelle BackUps der Box und schütze Dein dahinterliegendes Netz.
Btw glaube ich, daß plumpe Angriffe aus dem Reich der Mitte eher nicht Dein Problem sein sollten (vielleicht mit Ausnahme davon, das die BF-Attacke Deine Box mal die Konsole Deiner Box blockiert ... was man dagegen tun kann, habe ich im vorletzten Post beschrieben).
Grüße,

JD.

P.S.: Trotzdem finde ich hermann72pbs Idee, die Banner zumindest bei den "Standard-"Anwendungen (VSFTPD, Dropbear etc.) evtl per Patch abschaltbar zu machen, sehr gut. Ich schlage mich an anderer Stelle bezogen auf einen Webserver mit genau sowas rum ...
 
Zuletzt bearbeitet:
JohnDoe42 schrieb:
Das steht doch hier .... (!?)
Zum Vergrößern anklicken....

ja - da steht die gleiche Frage - aber keine Antwort - die Frage ist, ob man bei Freetz dieses Banner irgendwie abschalten kann, damit der Dienst hinter dem offenen Port nicht so leicht ermittelt werden kann und damit die Wahrscheinlichkeit solcher BF-Attacken, die meinen Zugang blockieren, minimiert ist. Das ist also mein "Kriegsschauplatz".
Ansonsten haben ich ja erwähnt, dass ich den Standardport nicht mehr nutze und der SSH-Zugang mittels Keyfile geschützt ist.

Grüsse
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 186 (Mitglieder: 4, Gäste: 182)

Neueste Beiträge

Statistik des Forums

Themen
245,025
Beiträge
2,222,939
Mitglieder
371,802
Neuestes Mitglied
mpegster
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück