Hilfe
Neues Thema
Antworten
hi,
ich habe mitlerweile das 2. mal miterleben müssen wie einer oder mehere versucht haben meinen server zu hacken.
diese attacken bringen meinen traffic sowas von in die höhe
kann man dagegen was machen?
ich bräuchte ein sicherheitszertifikat oder sowas fürs ssh
bei 3 fehlversuchen bann auf ip + e-mail mit info an mich
oder irgendwie sowas
Seite 1 von 1
Hacker
#1
linksta 
geschrieben 25. November 2005 - 18:36
auf unbestimmte zeit offline
<3 Adblock
<3 Adblock
Nach oben
#2
blue32
geschrieben 25. November 2005 - 18:49
Hi,
kamen die Angriffe per SSH?
In der /etc/ssh/sshd_config gibt kannst du bei ListenAddress nur bestimmten IPs erlauben, sich anzumelden. Außerdem gab es noch einen Timeout nach einem falschen Loginversuch. Das macht einen automatisierten Angriff auch unattraktiv.
kamen die Angriffe per SSH?
In der /etc/ssh/sshd_config gibt kannst du bei ListenAddress nur bestimmten IPs erlauben, sich anzumelden. Außerdem gab es noch einen Timeout nach einem falschen Loginversuch. Das macht einen automatisierten Angriff auch unattraktiv.
These guys are the best surfers in the world.
No surfboard, no wetsuit, no worries.
Phil, speaking about dolphins
No surfboard, no wetsuit, no worries.
Phil, speaking about dolphins
#3
Q-Fireball
geschrieben 25. November 2005 - 18:58
Also wenn das ein ssh angriff war, dann erlaub doch nur noch verbindung mit dem richtigen Key. Am besten ist so wenig dienst wie möglich im Internet anzubieten. Also solltest du ssh verbindung nur im Lan erlauben...
P.S.: Die Variante von blue32 ist auch ok vorausgesetzt der Angreiffer hat immer die gleiche IP
P.S.: Die Variante von blue32 ist auch ok vorausgesetzt der Angreiffer hat immer die gleiche IP
Dieser Beitrag wurde von Q-Fireball bearbeitet: 25. November 2005 - 19:00
#4
linksta
geschrieben 25. November 2005 - 19:01
also das mit den timeouts ist gut
noch sicherer wär natürlich ne feste ip zuweisen. aber da ich ne dynamische ip hab ist das schlecht.
natürlich wär es noch besser ssh nur im lan erlauben.
hab den server aber nich im zimmer stehen sondern gemiertet.
noch sicherer wär natürlich ne feste ip zuweisen. aber da ich ne dynamische ip hab ist das schlecht.
natürlich wär es noch besser ssh nur im lan erlauben.
hab den server aber nich im zimmer stehen sondern gemiertet.
auf unbestimmte zeit offline
<3 Adblock
<3 Adblock
#5 _Benjamin_
geschrieben 25. November 2005 - 19:11
dann würd ich mal beim hoster anklingeln und den fall melden!
#6
linksta
geschrieben 25. November 2005 - 19:12
der hoster hat sich bei mir gemeldet
auf unbestimmte zeit offline
<3 Adblock
<3 Adblock
#7 _Benjamin_
geschrieben 25. November 2005 - 19:21
Zitat (linksta: 25.11.2005, 19:12)
der hoster hat sich bei mir gemeldet
und der wollte das du herausfindest was da los ist? das nenne ich schlechten support ... wenn er schon merkt das da massenanfragen kommen die dir einen hohen traffic bringen, würde ich als hoste das versuchen rauszufinden und anzeige zu erstatten nicht meine kunden damit zu beauftragen.
#8
linksta
geschrieben 25. November 2005 - 19:22
bei v-servern gibt machen sie keine überwachung nur bei root servern
auf unbestimmte zeit offline
<3 Adblock
<3 Adblock
#9 _Benjamin_
geschrieben 25. November 2005 - 20:02
öhm was den nun, ein vserver oder ein gemieteter server ? das sind leider 2 verscheidene dinge ...
würd dennoch mal beim hoster anfragen welche sicherheitsmaßenmahmen mann da einleiten _kann_ jeglichen briefverkehr abspeichern und ausdrucken und bei der nächsten attacke ips aufzeichen und damit zur polizei ... am besten gleich den ganzen log mit den angriffen.
und dann sagen das es dich geld kostet und dein hoster sich weigert oder nach seinen agbs nicht handeln wird bla ...
btw: würd dir raten den anbieter zu wechseln
würd dennoch mal beim hoster anfragen welche sicherheitsmaßenmahmen mann da einleiten _kann_ jeglichen briefverkehr abspeichern und ausdrucken und bei der nächsten attacke ips aufzeichen und damit zur polizei ... am besten gleich den ganzen log mit den angriffen.
und dann sagen das es dich geld kostet und dein hoster sich weigert oder nach seinen agbs nicht handeln wird bla ...
btw: würd dir raten den anbieter zu wechseln
#10
linksta
geschrieben 25. November 2005 - 20:09
nein, es ist ein vserver
supportticket ist aufgemacht
ein logfile habe ich von denen auch bekommen
supportticket ist aufgemacht
ein logfile habe ich von denen auch bekommen
auf unbestimmte zeit offline
<3 Adblock
<3 Adblock
#11
[U]nixchecker
- Gruppe: aktive Mitglieder
- Beiträge: 345
- Beigetreten: 17. Mai 05
- Reputation: 0
- Wohnort:Bayern
- Interessen:Informatik, Linux, Rollerbladen, Bodybuilding, GungFu
geschrieben 25. November 2005 - 22:16
Sag denen einfach sie sollen Portknocking für dich einrichten, es sei denn du hast root rechte auf der Kiste, dann kannst du es selbst machen.
http://www.portknocking.org/
PortKnocking ist sowas wie ein Zahlenschloss, du klopst mit einer Sequenz an bestimmte Ports, erst danach wird der Port für ssh geöffnet ansonsten ist er zu und niemand kommt überhaupt zum ssh dienst durch.
http://www.portknocking.org/
PortKnocking ist sowas wie ein Zahlenschloss, du klopst mit einer Sequenz an bestimmte Ports, erst danach wird der Port für ssh geöffnet ansonsten ist er zu und niemand kommt überhaupt zum ssh dienst durch.
#12
Q-Fireball
geschrieben 26. November 2005 - 00:54
Also erstmal würde ich mal schauen was du überhaupt machen kannst. Hast du 100% Access und Root Rechte? Wenn ja dann kannst du ne menge dagegen tun, wenn nicht ist das die Aufgabe des Hosters! Und das die dich im Regen stehen lassen ist eigentlich ne Frechheit
SSH kannst du aber per RSA key pair absicheren. Im gewissen sinne ist das nix anderes als [U]nixchecker mit portknocking machen will. Wer den Key hat kann sich anmelden wer nicht wir abgewiesen erst dann kannst du überhaupt User und Passwort eingeben.
Wenn du weiter gehen willst kannst du einfach das Log auswerten. Da muss die IP mit geloggt worden sein, die kannst du dann mit Traceroute Nachverfolgen. Das sagt dir manchmal schon (mit Hilfe von whois) welcher Provider das ist. Dann hast du weiter Möglichkeiten, denn wenn das so was wie T-Online ist, gleich T-Online darauf aufmerksam machen, ach und wenn du ihm auf frische Tat erwischt und Ahnung hast wirt es richtig witzig
.
Apropos Häcker ich denke das wird eher ein Cräcker sein
SSH kannst du aber per RSA key pair absicheren. Im gewissen sinne ist das nix anderes als [U]nixchecker mit portknocking machen will. Wer den Key hat kann sich anmelden wer nicht wir abgewiesen erst dann kannst du überhaupt User und Passwort eingeben.
Wenn du weiter gehen willst kannst du einfach das Log auswerten. Da muss die IP mit geloggt worden sein, die kannst du dann mit Traceroute Nachverfolgen. Das sagt dir manchmal schon (mit Hilfe von whois) welcher Provider das ist. Dann hast du weiter Möglichkeiten, denn wenn das so was wie T-Online ist, gleich T-Online darauf aufmerksam machen, ach und wenn du ihm auf frische Tat erwischt und Ahnung hast wirt es richtig witzig
.Apropos Häcker ich denke das wird eher ein Cräcker sein
Dieser Beitrag wurde von Q-Fireball bearbeitet: 27. November 2005 - 14:36
#13
linksta
geschrieben 26. November 2005 - 23:07
jo ich werd mal den port wechseln.
auf unbestimmte zeit offline
<3 Adblock
<3 Adblock
- ← Linux Und Remoteverbindung ?!
- Linux
- Suse Linux 10 - Netgear Range Max Wpn511 Wireless Card Geht Nicht? →
Thema verteilen:
Seite 1 von 1