Hallo Jungs,
vor allem aus China erfolgen auf meinen Ubuntu-Server seit mindestens 2 Tagen unerwünschte Zugriffsversuche! Gearbeitet wird offenbar mit Passwort- und Nutzerlisten um per SSH Zugriff zu erlangen.
Laut Logs war bisher kein Loginversuch erfolgreich, aber falls doch, können die ja manipuliert werden.
Was ich möchte ist, dass ab sofort die Zugriffsversuche je IP auf 2 beschränkt werden und dann der Zugriff erst nach einer bestimmten Zeit wieder versucht werden kann.
Konkret geht es mir hierbei um:
SSH-Logins
Apache2-Logins
Postfix/smtpd-Logins
...und wenn möglich, auch wenn sie nicht angegriffen werden, um:
ProFTP-Logins
Als System läuft Ubuntu 10.04
Mein Administrator-Passwort ist sehr lang und besteht aus sinnlosen Zeichen, dennoch will ich auf Grund der zu schützenden Daten alles mögliche tun, damit niemand eine Chance hat!
---------
Edit: Das hier habe ich im access.log von apache2 gefunden!
58.218.199.227 - - [10/Jul/2011:04:05:49 +0200] "GET http://www.tripingnow.com/pe.php HTTP/1.1" 401 801 "-" "Mozilla/4.0 (compatible; MSIE 6.0; W$
58.218.199.227 - - [10/Jul/2011:05:26:01 +0200] "GET http://financeande.com/feed/feed.php HTTP/1.1" 401 798 "-" "Mozilla/4.0 (compatible; MSIE 6.$
202.75.211.206 - - [10/Jul/2011:05:45:36 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 401 647 "-" "ZmEu"
202.75.211.206 - - [10/Jul/2011:05:45:37 +0200] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 401 647 "-" "ZmEu"
202.75.211.206 - - [10/Jul/2011:05:45:38 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 401 647 "-" "ZmEu"
alle dieser IPs sind mir unbekannt! Was haben die Meldungen zu bedeuten?
Linux 15.036 Themen, 107.107 Beiträge
schau dir mal 'fail2ban' an
http://www.techienote.com/2010/11/fail2ban-on-ubuntu-to-stop-brute-force-attacks.html
Sperre einfach im Firewall die ganze IP range, dan gibts kein Problem mehr. Das hatte ich auch so ein Problem.
Auf jeden fall zu den meldungen:
58.218.199.227(IP, ist klar)
[10/Jul/2011:04:05:49 +0200] (datun/uhrzeit, sollte auch klar sein)
"GET http://www.tripingnow.com/pe.php HTTP/1.1" (ich will die daten von http://www.tripingnow.com/pe.php! Wenn tripingnow.com nicht dein domain ist dan kann es eventuell auf eine fehlconfig von irgend einem DNS server sein, alternativ weis ich auch net weiter)
" "Mozilla/4.0 (compatible; MSIE 6.0; W$ (gibt sich als Mozilla agent kompatibel mit Internet Explorer 6 aus mit Windows NT?)
PS; ganz vergessen, das sind nur stink normale HTTP anfragen an dein server. Ich weiss jetzt nicht wie dick dein log ist, aber falls die anfragen sich noch im normalen modus bewegen dan ist es auf jeden fall kein DDoS
Sende mal die IP adressen durch http://www.dnsbl.info/
Da kannste kontrollieren ob es bekannte spam adressen sind oder ob sonst irgend was nicht mit den stimmt.
das von mi~we erwähnte fail2ban ist schon fast Pflicht auf einem Server. Damit kannst du SSH, SMTP, FTP und HTTP Authentifizierung überwachen und nach einer bestimmten Anzahl Fehlversuche den Eindringling blockieren.
Auf Apache kannst du mittels mod-geoip bequem ganze Länder von sensitiven Bereichen diskriminierend ausschliessen.
Login per SSH generell einschränken, root darf gar nicht, andere User idealerweise nur per Key, nicht Passwort. SSH auf einen anderen Port legen, das ist zwar eher security by obscurity, reduziert aber die Anzahl automatisierter Angriffe signifikant.
Lass dir Logauszüge per Logcheck zukommen, damit wirst du relativ rasch über Angriffsversuche informiert.
danke für eure Antworten - seit des Einrichtens von 'fail2ban' sind vor allem die Angriffe auf meinen Mailserver eingestellt worden. Bei SSH finden vereinzelt noch Zugriffsversuche statt, aber in einer überschaubaren Menge.
Eine Frage noch zu dem hier veröffentlichten Auszug aus meinem Apache-Logfile:
Die Versuche von 202.75.211.206 einzelne Dateien auf meinem Server aufzurufen (die nicht existieren) kann ich nachvollziehen - wie ist es aber der 58er-IP möglich, über meinen Server eine ganz andere Webseite aufzurufen? Verbindet mein Server tatsächlich zu der Domain? Falls nein, was bringen dem Angreifer solche Requests?
Eigentlich habe ich meine komplette Webpräsenz per .htaccess geschützt.
Um DDos wird es sich wohl nicht handeln, dafür sind die Zeitabstände zwischen den einzelnen Aufrufen zu groß. Bei der 202er-IP handelt es sich offenbar um einen Securityscanner, der IP-Ranges abgrast und die Server auf potentielle Angriffsziele untersucht.
Die Versuche vom 58er liefen darauf hinaus herauszufinden, ob dein Server ein offener HTTP-Proxy ist. Das ist nützlich, um die Identität bei Angriffen zu verschleiern.
Funktioniert hat das aber nicht, dein Server hat jede Anfrage mit "401 - not authorized" beantwortet. Dein Schutz per .htaccess scheint also zu funktionieren.
Um DoS wird es sich tatsächlich kaum handeln, eher um einen Scan auf Schwachstellen, um dann über einen Exploit in dein System eindringen zu können.
super! Dann bedanke ich mich bei euch allen für die schnelle Hilfe - ihr habt mir sehr geholfen!
Macht weiter so!
Ihr haut hier mit Fachbegriffe um Euch, dass mit schwindelig wird. Denkt doch mal bitte an die User, die nicht so zertifiziert sind wie ihr. Das mit den Bootnetzen ist eine heikle Sache. Der Identi-Link funktioniert. Jetzt wäre es wirklich sehr nett von Euch, den Weg zu beschreiben, wie man solchen Dreck wieder von den PC runter bekommt.
mfg 08.15 user
Wenn du einen Fachbegriff nicht verstehst, dann Frage bitte einfach nach statt hier rumzujammern. Gezieltes Nachfragen oder selbständige Recherche bei Verständnisschwierigkeiten sollten eigentlich selbstverständlich sein. Grundsätzlich halte ich es für unnötig, mir dreifache Arbeit zu machen und jeden Fachbegriff DAU-konform zu erklären. Die Hilfstellungen würden dadurch ins Sinnlose ausufern, verzetteln und gänzlich unlesbar werden. Und überhaupt: Der Fragesteller hat die Antwort offenbar verstanden. Da er die Ansprechsperson war und nicht du, würde ich mal meinen, dass die Begriffswahl adäquat war.
Von was für einem "identi-Link" sprichst du?
Was für Dreck willst du von deinem PC runterkriegen? Im Falle von bechri scheint keinerlei Infektion vorzuliegen, da gibt es auch nichts zu entfernen. Wenn es in deinem Fall anders ausschaut, dann erläutere diesen detailliert. Tue dies aber bei gröberen Abweichungen in einem neuen Thread, statt diesen hier zu hijacken.
Hi,
das Problem des Threadstarters, und damit auch die Antworten, sind so speziell, dass "Otto Normaluser" wie du und ich sie nicht verstehen.
Ich finde es immer wieder erstaunlich, dass es bei so diffizilen Fragen jemanden gibt, der Lösungsvorschläge parat hat.
Da mich die Frage des Threadstarters nicht interessiert, weil ich persönlich nicht betroffen bin, interessiert mich auch nicht die Komplexität der Antworten, die ich sowieso nicht verstehe.
Also, warum aufregen?
Grüße
Erwin
Vielleicht solltest du dir da auch etwas mehr Wissen aneignen.
Ich kann mir auch keine Vorlesung in einer Fremdsprache anhören, welche ich überhaupt nicht beherrsche.
Denkt doch mal bitte an die User, die nicht so zertifiziert sind wie ihr.
Wir denken in erster Linie daran die Fragen der Fragesteller richtig und zufriedenstellend zu beantworten.
Wenn du hier etwas nicht verstehst, so lese bitte hier nach was dabei alles zu beachten ist.
Du scheinst auf dem Nickles - Brettern auch nicht der Einzigste zu sein welcher damit ein Problem hat.
MfG Acader
Ein wirklich tolles Buch gerade für die erwähnten DAUs (wozu ich mich selbst zähle) ist meiner Meinung nach dieses hier: http://www.amazon.de/Computernetzwerke-Von-Grundlagen-Funktion-Anwendung/dp/3446419225/ref=sr_1_1?ie=UTF8&qid=1311449192&sr=8-1
Der User, welcher die Frage gestellt hat, ist anscheinend genügend zertifiziert, um die Antworten zu verstehen. Warum sollte man die Antworten so allgemein halten, dass jeder sie versteht? Wenn du eine spezielle Frage hast, dann wirst du doch den Leuten, welche dir antworten sollen, nicht vorschreiben wollen, dass sie so antworten, das jeder die Antwort versteht. Du würdest sicherlich auch gar nicht auf die Idee kommen, deine Frage so zu stellen, dass jeder sie versteht - weil dein Problem eben ein ganz spezielles ist...
Ich habe zum Beispiel auch nicht allzuviel von dem verstanden, was da geschrieben wurde - und das betrifft sowohl die Frage, als auch die Antworten. Ich würde da aber nie auf die Idee kommen, dem Fragesteller bzw. dem Antwortenden zu sagen, dass sie bitte ihre Frage oder Antwort etwas allgemeinverständlicher gestalten sollen.
Gruß
K.-H.