Hallo liebe Listenempfänger,
In den Log-Files unseres Linuxservers finde ich in den letzten Tagen
in inzwischen doch erheblichem Umfange (zum Glück bisher gescheiterte)
Versuche sich über ssh illegal von extern einzuloggen. Ich habe einige
der laut "whois" eingetragenen Verantwortlichen angeschrieben, bisher
hat jedoch nur einer reagiert (und sich immerhin dafür entschuldigt).
Ich vermute, dass es sich bei den meisten (mit Ausnahme von evtl. IP
200.247.90.55 da sich unter http://200.247.90.55/ ein Fedora Apache
meldet) um geknackte Windows-Zombies handelt, die durch Malware jetzt
solche Angriffe starten.
Ich werde versuchen die Anleitung vom Debian-Form
(http://www.debianforum.de/forum/viewtopic.php?t=47353&postdays=0&postorder=asc&start=0)
zu integrieren um so den ssh-Zugang stark zu begrenzen.
Allerdings bietet dies natürlich auch keine absolute Sicherheit.
Abschalten will ich den Zugang von außen aber auch nicht, da ich sonst
im Problemfalle immer direkten physikalischen Zugang bräuchte)
Fragen:
a) Um den potenziellen Nutzen einer solchen Hack-Aktion zu minimieren
überlege ich, die Nutzerverzeichnisse zu verschlüsseln. Hat damit
jemand praktische Erfahrung und kann berichten, wie stark das die
Performance drückt?
Gefunden habe ich: Laut aktuellem Linux-Magazin (08/05, im Abo daher
schon vor 7.7.05) um 20-30%, was aber durch mehr RAM z.T. ausgleichbar
sei. Ich suche Praxiswerte für einen SAMBA-Server. (PS.: "Mein"
Server: Asus A7V8X, 1 GB RAM, AMD Athlon XP 2500, 250 GB (Mirror) RAID
über S-ATA (z.Z. etwa 55 MB/s laut hdparm))
(Anm.: Natürlich kann ich das selber probieren, dass wird aber eine (für mein
Know-How) größere Aktion, die ich mir sparen könnte, wenn jemand
diesen Weg schon gegangen ist und mir die Richtung vorgibt)
b) Ist eine zentrale Sicherung über ADSM (jetzt ITSM) mit
verschlüsselten Verzeichnissen noch problemlos möglich und sinnvoll
(unter Annahme das root die PW nicht kennt)?
b) Ich drohe den "Verantwortlichen" mit "legal actions" im
Wiederholungsfall. Gibt es dafür eine zentrale Sammelstelle an der
Uni, die solche Vorfälle juristisch bearbeitet (Mir ist natürlich klar
das so etwas nur für "Schuldige" möglich ist, die nicht irgendwo auf
den Private Islands sitzen und entsprechende Gesetze existieren).
Muss ich bei meinen Beschwerdemails auf eine bestimmte Form achten?
Danke,
Stephan
--
Stephan Gromer, MD. PhD.
Work: Biochemie-Zentrum Heidelberg / Im Neuenheimer Feld 504 / D-69120
Heidelberg / Tel.: +49 (6221) 544291 / Fax.: +49 (6221) 545586
Home: Sternallee 89 / D-68723 Schwetzingen / Tel.: +49 (6202) 855038
Mobil: +49 (172) 7694555 / URL: http://www.gromer-online.de
Received on Tue Jul 5 12:56:12 2005