Webserver wird mit Loginversuchen bombardiert

iYassin

Well-known member
Themenstarter
Registriert
15 Mai 2009
Beiträge
10.187
Hi zusammen,

ich bräuchte mal bitte Hilfe von Euch erfahrerenen Server-Admins :)

Ich betreibe auf einem Netcup vServer Debian 10 und Nextcloud 23. Das System ist grob nach der Anleitung von Carsten Rieger (https://www.c-rieger.de/nextcloud-installationsanleitung/) eingerichtet, u.a. also auch mit fail2ban ausgestattet. Seit etwa einem Tag wird mein Server jetzt mit Loginversuchen auf ssh bombardiert, alle paar Minuten wird eine IP nach 5 Versuchen gegen ssh und sshd gesperrt, dann kommt ein paar Minuten später eine andere. Seit gestern sind es ca. 150 verschiedene IPs, die angelaufen sind. Die IPs sind völlig zufällig, auch die Regionen, woher sie kommen und die Benutzernamen, die probiert werden. Ich kann also weder einen Adressbereich noch eine Region sperren.

Hat jemand einen Tipp, was ich machen kann?
Oder kann man das nur aussitzen? Der Server ist eigentlich entsprechend gehärtet (Firewall, fail2ban, kein root-Login per SSH etc.) und die Last ist auch (bisher) kein Problem.

Viele Grüße,

iYassin
 
Klar, aber das ist wie das Überschreiben von Festplatten: dd if=/dev/zero of=/dev/sda kannst du auch im Labor nicht mehr rückgängig machen - aber viele glaube an schwarze Magie und die Existenz von höheren Entitäten :)
 
Klar, aber das ist wie das Überschreiben von Festplatten: dd if=/dev/zero of=/dev/sda kannst du auch im Labor nicht mehr rückgängig machen - aber viele glaube an schwarze Magie und die Existenz von höheren Entitäten :)
Kannst Du das für mich übersezten? Ich habe es nicht verstanden.
 
dd ist mir bekannt.
Was hat das mit diesem Thread zu tun?


Das war meine Frage.

Klar, aber das ist wie das Überschreiben von Festplatten

Was soll ich mit der Antwort anfangen?
 
Zuletzt bearbeitet:
Nein, Deine Frage war nebst Zitat so gestellt, dass sie auf den dd-Befehl gemünzt war. Wenn Du etwas anderes meinst, solltest Du entsprechend das richtige Zitat als Bezug wählen.
 
Um Übersetzung der Antwort hatte ich gebeten.
Der Bezug zu dd in diesem Thread ist nicht bekannt.
 
Nun, ich habe auch das Problem, daß ich keine Ahnung habe, worauf Zwieblum sich in seiner Antwort bezieht. Da gehts mir wie XSid. Wir wissen beide nicht, was gerade in Zwieblums Hirn vor sich ging, als er das geschrieben hat.
 
HDD Hersteller und Sicherheitsexperten sagen, einmal jedes Bit einer HDD mit 0 überschreiben reiche und sei auch forensisch nicht mehr wiederherstellbar (besserer Weg ist übrigens einen ATA Secure erase zu callen, da dann auch Reservesektoren und ähnliches genullt werden) - Leute behaupten trotzdem noch man brauche 7 alternierende 1/0 Zyklen und ähnlichen Quatsch, weil das bei antiken HDDs wo die Sektoren riesig waren Mal nötig war.

Ebenso reicht es bei SSH einfach auf pubkey only zu gehen, und die Anfragen abprallen zu lassen - keinerlei Sicherheits-Implikationen, wenn man keinen Mist Schlüssel Algorithmus nimmt. Das wollte zwieblum wohl ausdrücken.
 
Zuletzt bearbeitet:
Das ist das die Steigerung:

SSH Login mit 2-Faktor-Authentifizierung FIDO Stick


Der Vorteil ist, dass das SSH Schlüsselpaar beim Erstellungsprozess mit dem FIDO Stick verschlüsselt wird und sich auch nur mit genau dem Stick wieder verwenden lässt.
 
Zuletzt bearbeitet von einem Moderator:
Das ändert aber nichts an der Verschlüsselung der Verbindung selbst, nur daran dass niemand außer dir deinen lokalen Key am PC/Laptop verwenden kann um auf den Server zuzugreifen. Für jemanden der deinen Key nicht hat, änder es nichts.
 
Nö. Wenn er deinen Privatekey hat, kann er sich verbinden. Wo und wie du den PK sicherst ändert nicht viel - ausser in deiner Gegend werden Sysadmins regelmäßig überfallen und gefilzt.
 
Nö. Wenn er deinen Privatekey hat, kann er sich verbinden. Wo und wie du den PK sicherst ändert nicht viel - ausser in deiner Gegend werden Sysadmins regelmäßig überfallen und gefilzt.

Die Admin Sprache ist für mich schwer verständlich.
@Mornsgrans Admin-Sprache kann ich verstehen, dass aber auch nur wenn @Mornsgrans gerade Lust hat.
:)

Och mensch - kannst Du nicht einmal eine Suchmaschine bedienen?
Erster Google-Treffer nach "dd befehl":

Damit kann ich weniger anfangen und Google mag ich sowieso nicht.

Seit etwa einem Tag wird mein Server jetzt mit Loginversuchen auf ssh bombardiert, alle paar Minuten wird eine IP nach 5 Versuchen gegen ssh und sshd gesperrt,

Finden die Loginversuche auf der GUI oder per SSH statt?
Überwacht fail2ban auch den ssh Zugang?
 
Zuletzt bearbeitet:
Ich musst diesen Thread nochmal rauskramen..einfach herrlich manchmal auch diese Dialoge als thematisch Außenstehender zu lesen.. :)
Zum Thema: ich hab auch schon mehrfach nun gelesen dass f2b eher redundant ist, wenn mann pw Authentifizierung abschaltet was logisch ist und Sinn macht...Im Arch Wiki z.b. wird gleich am Anfang in einer Box darauf hingewiesen...Dann wiederum existieren schon nicht wenige Tools die man als Firewall Extension betrachten kann...neben f2b z.b auch das zuvor erwähnte Crowdsec, auch SSHGuard gibt es..und sicher noch andere...Da frage ich mich was die zusätzlich noch an Mehrwert liefern, wenn deren Kernkompetenz "in einer anderen Datei auch einfach #auskommentiert werden kann" :unsure:
 
Crowdsec blockt die IPs des Botnetzes bei dir nicht erst wenn du von Ihnen attakiert wirst sonder auch wenn andere Cowdsec Teilnehmer von diesem Botnet attakiert werden, es ist also proaktiv statt reaktiv.
 
Oder irgendwas mit dem Einrichten des Krypto-Keys verhunzt und nachher selber nicht mehr rein kommt in das eigene System weil man sich die Möglichkeit die immer funktioniert (Passwort) abgeschaltet hat. Kann ich ein Lied von singen. Selbst bei richtiger Einrichtung hat mich mal ein Update ausgesperrt. Bei einem System wo man keinen Terminalzugang hat ist das ziemlich kacke.

Ich würde als erstes SSH auf einen anderen Port legen und es dabei belassen. Und darauf achten, dass der neue Port durch die Firewall erreichbar ist, oder eben in der Firewall selber von 22 auf einen anderen transformieren. Sind die Passwörter komplex genug braucht man sich über böse Loginversuche auch nicht weiter Gedanken machen.
 
Zuletzt bearbeitet:
Was auch nett ist, ist Tarpit..eine sogenannte Teergrube. Ich glaub auch die meisten tools zielen auf einen passwortbetriebenen SSH Zugang zum Server ab. Ich finde es interessant wie tief dieser Kaninchenbau eigentlich gehen kann.
 
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben