Angriffe auf Server

Elsässer

Aktives Mitglied
Thread Starter
Dabei seit
26.02.2006
Beiträge
255
Reaktionspunkte
3
Salut zsammen,
habe meinen Server jetzt aufgesetzt und alles läuft. Anscheinend so gut, dass da irgendwelche Individuen rein wollen. Unter Sicherheitsprotokoll finden ich nun neben 200 Einwählversuche diesen Rest:

Jun 13 21:46:22 xxxxx sshd[64255]: Invalid user rpcuser from 203.93.239.122
Jun 13 21:46:25 xxxxx sshd[64260]: Invalid user rpc from 203.93.239.122
Jun 13 21:46:28 xxxxx sshd[64277]: Invalid user gopher from 203.93.239.122
Jun 13 23:00:36 xxxxx com.apple.SecurityServer[42]: Succeeded authorizing right 'com.apple.builtin.generic-unlock' by client '/System/Library/PrivateFrameworks/DiskImages.framework/Versions/A/Resources/diskimages-helper' for authorization created by '/System/Library/PrivateFrameworks/DiskImages.framework/Versions/A/Resources/diskimages-helper'

In Open Directory habe ich bereits "nach 3 Anmeldeversuchen deaktivieren" angeklickt, aber das scheint hier nix zu bewirken?

Was heißt das letztere "Succeeded ..." und wie kann ich solche Versuche sperren?
 
Die Angriffe kannst du abstellen indem du z.B. den sshd auf deinem Server einfach nicht laufen lässt, dann hast du selbst aber auch keinen Zugriff mehr von außen. Eine andere Alternative wäre, den Zugriff von außen über Firewall zu unterbinden und erst nach Zugriff über ein VPN zu gestatten. Das alles macht natürlich nur Sinn, wenn du noch anderweitig Zugriff auf den Rechner hast, falls was schiefgeht.

Die andere Meldung heißt, dass das Programm diskimages-helper vom System Rechte beantragt hat und diese auch bekommen hat. Je nachdem welche Software du benutzt, bekommst du unterschiedliche Meldungen dieser Art im Logfile. Die von dir gezeigte Meldung gibt es, wenn du ein verschlüsseltes oder komprimiertes Image lädst. Das ist kein Grund zur Beunruhigung.
 
Danke erst einmal zur frühen Stunde.

Meines Wissens habe ich SSH nicht eingeschaltet. Jedenfalls erscheint es nicht in der Liste der Dienste. Oder ist es wo anders verborgen? Ich kenne mich da (noch) nicht aus.

Habe gerade bei Heise gelesen, dass es wohl einen SSH Blocker gibt, den man aber erst kompilieren muss - to heavy. Wieso gibt's so was nicht für den "leicht zu bedienenden Server OS X"?
 
Danke erst einmal zur frühen Stunde.

Die von dir gezeigte Meldung gibt es, wenn du ein verschlüsseltes oder komprimiertes Image lädst. Das ist kein Grund zur Beunruhigung.

Ich habe zu dem Zeitpunkt nix geladen oder gelesen. War es der "Eindringling". Habe ja anschließend keinen Zugang mehr zu meine Server - s.anderer Post.

Meines Wissens habe ich SSH nicht eingeschaltet. Jedenfalls erscheint es nicht in der Liste der Dienste. Oder ist es wo anders verborgen? Ich kenne mich da (noch) nicht aus.

Habe gerade bei Heise gelesen, dass es wohl einen SSH Blocker gibt, den man aber erst kompilieren muss - to heavy. Wieso gibt's so was nicht für den "leicht zu bedienenden Server OS X"?
 
Unter OSX ist der Zugriff per SSH unter Netzwerk -> Entfernte Anmeldung zu finden, den müsstest du deaktivieren um Zugriff von außen nicht mehr zu gestatten. In den Logfiles deutet aber eigentlich nichts darauf hin, dass tatsächlich jemand eingedrungen ist. Und was die SSH Login Versuche angeht, ich habe teilweise an die 100 davon pro Stunde auf meinem Server.
 
  • Gefällt mir
Reaktionen: Elsässer
Unter linux habe ich für solche Fälle in kleines Script Namens "fail2ban". Das kleine Tool überwacht die Logdateien und bei zu vielen fehlerhaften Login-Versuchen wird die entsprechende IP Adresse für eine Zeit x gebannt.
 
Danke.
Und wie bekomme ich das Skript auf meinen Server? ;-)
 
Das ist völlig normal, wenn ein Server mit offenem SSH-Dienst am Internet hängt. Wir haben bei unseren Kunden unzählige dieser Versuche über den Tag verteilt, auch wie bei Dir aus Netzen die sich meistens chinesischen Providern zuordnen lassen.

Prüfe von außen mit einem Portscanner z.B. nmap welche Ports auf dem Server aktiv sind. Alle Dienste die dort antworten, aber nicht gebraucht werden, deaktivieren.
Wenn SSH aktiv bleiben soll/muss, unbedingt Standard-Benutzer (gast, Root,Administrator) umbenennen, bzw. deaktiveren soweit möglich. Root-zugang per SSH sperren und, das allerwichtigste, komplexe Passworte benutzen.

Und natürlich sollte zwischen Server und Internet eine professionelle Firewall hängen.
 
Ich habe solche Versuche damit unterbunden, indem ich SSH serverseitig auf einen anderen Port gelegt habe. Einfach irgendeinen der nicht belegten Ports im fünfstelligen Bereich nehmen. Eben einen, wo niemand einen SSH Dienst dahinter erwartet.

Mit ssh -p <port> <adminuser>@<ipadresse>

kannst Du Dich dann per Terminal einloggen. Bitte aber nicht vergessen, den SSH Port auch in der Firewall zu ändern, damit Du Dich nicht aussperrst!

Bei mir sind keinerlei Angriffsversuche über SSH zu verzeichnen. Die Firewall läuft im Stealth Mode. Wer da einen Portscan probiert, kriegt nicht einen einzigen offenen Port genannt. :)

Die sonstigen Admin Dienste schalte ich mir per SSH nach Bedarf zu. Apple hat ja für jeden Dienst ein schönes Kommando vorbereitet.

Übrigens: falls noch ein Mailserver läuft, bitte unbedingt die Realtime Blacklist und SMTP Authentifizierung anschalten, dann bist Du eigentlich (relativ) sicher vor Angriffen jeder Art.
 
  • Gefällt mir
Reaktionen: muellermanfred
Zurück
Oben Unten