Server under angreb, hvad gør man?

Tags:    server linux ssh network

<< < 12 > >>
Hejsa!,

Jeg ejer en linux box som ligger og køre på det store mørke internet, denne box er dog blevet målskive for random brute-force angreb over ssh.

Som landet ligger idag får jeg en report over alle login forsøg hverdag, jeg plejer ud fra denne report at genere et logudkast fra min box som jeg sender til ip adressens whois abuse mail.

Men jeg har dog aldrig selv modtaget nogle tilbage meldinger fra nogle af disse og ville da høre om der er andre der har erfaringer med dette og om der er en anden vej man skal gå?

(EDIT: Jeg forspørger ikke på løsninger til sikring af mit system, men mere en debat omkring bekæmpelse af overstående angreb i en mere offensivt angreb)



Indlæg senest redigeret d. 02.02.2012 23:44 af Bruger #17032
14 svar postet i denne tråd vises herunder
0 indlæg har modtaget i alt 0 karma
Sorter efter stemmer Sorter efter dato
Du bør slå root login fra over ssh. Så skal han også bruteforce et brugernavn, før han kan komme igennem.

Og mon ikke der finder noget software der blokerer trafik fra en ip med mere end 3 mislykkede forsøg eller lignende...

Bare et par idéer.

Tror ikke du skal regne med det store resultat fra abuse mails.



Root er skam slået fra på systemet og jeg kunne også nemt flytte min ssh port til en anden ukendt port og opsætte iptables til automatisk at droppe pakker fra den samme adresser hvis der kommer mere end 3-5 nye connections inden for et hvis tids rum.

Det jeg mere søger er om der eksistere en service/myndighed der kan kontaktes i sådanne tilfælde, jeg regner ikke med der er ICANN man skal kontakte ved sådanne sager?



https://www.govcert.dk/infos/om_os

Mener du kan melde det til regeringen.



Hmm, måske - jeg har en kollega som fik brudt sin adgang til hans telefon server. han ringede til politiet og de bad ham om at komme ind med "computeren" og så ville der går et par uger før han fik den tilbage.

Læste lige:
Anmeldelse af formodet it-kriminalitet skal rettes til det lokale politi. Anmeldelse vedrørende mistanke om børnepornografi eller hacking skal rettes til Rigspolitiets Nationale IT-Efterforskningscenter (NITEC).

Har hermed sent flg. til NITEC:
I forbindelse med at jeg har en server kørende oplever jeG flere brute-force angreb i forsøg på at skabe adgang til mit system. Jeg har før dannet logs ud fra login forsøg og sendt abuse mails til ip haver. Hvorledes er den rette tilgang til evt. anmeldese af sådanne angreb og hvordan skal jeg forholde mig til dette?



Lyder som en god start :-) Håber de kan hjælpe!



Ja nu må vi se hvad de svare, jeg smider en opdatering når/hvis jeg høre fra dem.



Jeg tvivler på at du får dem til at gøre noget. De kræver en del ressourcer fra deres side, og hvis de skulle følge op på alle den slags angreb, så skulle de vidst udvide staben.

Så medmindre der er andre faktorer der spiller ind - for eksempel hvis du kan bevise at det er angreb målrettet din person - tror jeg ikke på at det giver noget resultat.

Men jeg glæder mig til at høre om der er bid :-)



Det kan man jo både sige for og imod, hvis man bliver ved med at ignorere sådanne angreb hvilket grundlag har man så for at kalde sig sikker?.

Det kan jo sammenlignes lidt med at nogle forsøger at overfalde dig, er det så dit eget ansvar og have bodyguard, skudsikker-vest og andet beskyttelse?.

:-)



Du kan gøre flere ting.

1) Flyt din ssh server til en anden port.
Det vil afværge de fleste automatiske angreb, men ikke en determineret hacker.

2) Tillad ikke password baserede logins
Slå simpelthen password authentication fra og brug public key authentication. Det er den mest sikre metode og også den, jeg selv bruger på min egen server.
I /etc/ssh/sshd_config skal du have følgende:
Fold kodeboks ind/udKode 




Hej Robert,

Jeg siger mange tak for dit indskud omkring sikkerhed til boxen, det er desværre ikke emnet. Jeg er fuldstændig sikker på hvorledes jeg beskytter boxen og hvilke forholds regler jeg kan tage.

Kom gerne med forslag drejer sig om emnet.

:-)



<< < 12 > >>
t