Lästige Hack versuche über SSH

Kalender

Zurück September '10
Mo Di Mi Do Fr Sa So
Donnerstag, 9. September 2010
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30      

Archive

Kategorien



Alle Kategorien

Blog abonnieren

Statische Seiten

Startseite
Downloadmanager

Montag, 15. Mai 2006

Lästige Hack versuche über SSH

Wer einen Server mit SSH im Internet stehen hat, kennt das Problem. Massenhafte versuche sich mit Dictionary Attacks zugriff auf den Server zu verschaffen. Das Problem ist, das das nicht nur gefährlich ist, sondern auch CPU und Bandbreite kostet :-(

Doch was kann man dagegen tun?

Am einfachsten wäre den SSH Port von 22 auf einen anderen, unüblichen Port zu verlegen. Hat man aber Kunden mit auf dem Server die auch SSH nutzen ist das keine elegante Lösung. Bleibt noch die IP zu sperren wenn zu viele Fehlversuche von dieser IP kommen.

Berücksichtigen sollte man noch das User die nur etwas oft Ihr Passwort falsch eingeben natürlich nicht dauerhaft ausgesperrt werden sollten. Das Script das ich nun hierfür verwende ist nicht von mir, sondern nur von mir angepasst worden. Leider weis ich aber nicht mehr wo ich es mal her hatte :-(

Das Script nutzt "ipfw" um IPs die zu viele Fehlversuche machen auszusperren. Dabei wird für falsche Passwörter die Regel Nr. 20000 verwendet und für falsche User 20101 bis 21231.

Hier das Script (es liegt auch in der Downloadsektion):

#!/bin/sh
if /sbin/ipfw show | awk '{print $1}' | grep -q 20000 ; then
/sbin/ipfw delete 20000
fi
for ips in `cat /var/log/auth.log | grep sshd | grep "Invalid" | awk '{print $10}' | uniq -d` ; do
if ! /sbin/ipfw show | grep -q $ips ; then
/sbin/ipfw -q add `date "+2%m%d"` deny tcp from $ips to any 22
fi
done
cat /var/log/auth.log | grep sshd | grep "Failed" | rev | cut -d\ -f 4 | rev | sort | uniq -c | \
( while read num ips; do
if [ $num -gt 5 ]; then
if ! /sbin/ipfw show | grep -q $ips ; then
/sbin/ipfw -q add 20000 deny tcp from $ips to any 22
fi
fi
done
)

Das Script liegt bei mir unter /root/bin/ als sshd-fwscan.sh und wird über cron alle 2 Minuten ausgeführt. IPs die falsche User versuchen werden Dauerhaft gesperrt, falsche Passwörter werden nach einem Turnover des Logs wieder Freigeschalten. Was noch fehlt ist eine Whiteliste von IPs die nie gesperrt werden sollen. Das kann man aber u.a. auch dadurch lösen das man diese IPs mit einem allow und einer Regelnummer kleiner 20000 im ipfw einträgt lösen. Das Script entlastet den sshd merklich bei grossen Scans.

Ich hoffe euch wieder etwas geholfen zu haben. Über Anregungen und Kritik zu den Artikeln freue ich mich immer.

Geschrieben von
Holger Wolff
in FreeBSD um 08:07 | Noch keine Kommentare | Keine Trackbacks
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)
Noch keine Kommentare
Kommentar schreiben
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Um einen Kommentar hinterlassen zu können, erhalten Sie nach dem Kommentieren eine E-Mail mit Aktivierungslink an ihre angegebene Adresse.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

 
   
Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!