[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: SSH-Absicherung durch Verzeichnisverschluesselung und rechtliche Moeglichkeite n gegen Hacker


Hallo

Ich habe ein PHP Skript geschrieben der nach drei Fehlversuche innerhalb
der letzten so-und-soviel Logeintraege von der selben IP die IP in die
Firewall reinschreibt.

Erfolg 100%.
(Ich habe den script auf www.linux-club.at veroeffentlicht. Jedoch size ich
zZ hinder einer paranoischem proxy der mir den Zugang zu dieser Seite
verbietet. Muttu selber suchen.)

Man kann den Skript sowohl bei Dictionary Attaken als auch bei Brute Force
mit ssh oder bei irgend einer anderen brute force einsetzen.

Ich kann leider kein bash/sh-skripting.
Ihr koennt euch aber bestimmt auch etwas stricken.
Viel Spass

PS.
setze den ssh port irgendwo auf einen anderen Port
die trojaner die die brute force attacken machen gehen immer auf den port 22

PS2.
Arbeite mit Tunnel und Zertifikaten
Baue von Server einen dauerhaften Tunnel auf die Maschine von der Du dich
einloggen willst und benutze den Tunnel.

PS3.
Vergiis die Beschwerde Schine. Es muss Dir echt schaden entstehen damit
ein Gericht sich der Sache annimmt.
Und dann geht die Sache so aus dass der 14 Jahre alte Hacker muendlich
gemahnt wird, und Du deinen Job verlierst weil Du die notwendigen Backups
nicht sorgfaeltig genug gemacht hast

PS4.
Viele Gruesse


> Hallo liebe Listenempfaenger,
>
> In den Log-Files unseres Linuxservers finde ich in den letzten Tagen
> in inzwischen doch erheblichem Umfange (zum Glueck bisher gescheiterte)
> Versuche sich ueber ssh illegal von extern einzuloggen. Ich habe einige
> der laut "whois" eingetragenen Verantwortlichen angeschrieben, bisher
> hat jedoch nur einer reagiert (und sich immerhin dafuer entschuldigt).
> Ich vermute, dass es sich bei den meisten (mit Ausnahme von evtl. IP
> 200.247.90.55 da sich unter http://200.247.90.55/ ein Fedora Apache
> meldet) um geknackte Windows-Zombies handelt, die durch Malware jetzt
> solche Angriffe starten.
> Ich werde versuchen die Anleitung vom Debian-Form
> (http://www.debianforum.de/forum/viewtopic.php?t=47353&postdays=0&postorder=asc&start=0)
> zu integrieren um so den ssh-Zugang stark zu begrenzen.
> Allerdings bietet dies natuerlich auch keine absolute Sicherheit.
> Abschalten will ich den Zugang von aussen aber auch nicht, da ich sonst
> im Problemfalle immer direkten physikalischen Zugang braeuchte)
>
> Fragen:
> a) Um den potenziellen Nutzen einer solchen Hack-Aktion zu minimieren
> ueberlege ich, die Nutzerverzeichnisse zu verschluesseln. Hat damit
> jemand praktische Erfahrung und kann berichten, wie stark das die
> Performance drueckt?
> Gefunden habe ich: Laut aktuellem Linux-Magazin (08/05, im Abo daher
> schon vor 7.7.05) um 20-30%, was aber durch mehr RAM z.T. ausgleichbar
> sei. Ich suche Praxiswerte fuer einen SAMBA-Server. (PS.: "Mein"
> Server: Asus A7V8X, 1 GB RAM, AMD Athlon XP 2500, 250 GB (Mirror) RAID
> ueber S-ATA (z.Z. etwa 55 MB/s laut hdparm))
> (Anm.: Natuerlich kann ich das selber probieren, dass wird aber eine (fuer
> mein
> Know-How) groessere Aktion, die ich mir sparen koennte, wenn jemand
> diesen Weg schon gegangen ist und mir die Richtung vorgibt)
>
> b) Ist eine zentrale Sicherung ueber ADSM (jetzt ITSM) mit
> verschluesselten Verzeichnissen noch problemlos moeglich und sinnvoll
> (unter Annahme das root die PW nicht kennt)?
>
> b) Ich drohe den "Verantwortlichen" mit "legal actions" im
> Wiederholungsfall. Gibt es dafuer eine zentrale Sammelstelle an der
> Uni, die solche Vorfaelle juristisch bearbeitet (Mir ist natuerlich klar
> das so etwas nur fuer "Schuldige" moeglich ist, die nicht irgendwo auf
> den Private Islands sitzen und entsprechende Gesetze existieren).
> Muss ich bei meinen Beschwerdemails auf eine bestimmte Form achten?
>
> Danke,
>  Stephan
>
>
>
> --
> Stephan Gromer, MD. PhD.
> Work:  Biochemie-Zentrum Heidelberg / Im Neuenheimer Feld 504 / D-69120
>  Heidelberg / Tel.: +49 (6221) 544291 / Fax.: +49 (6221) 545586
> Home:  Sternallee 89 / D-68723 Schwetzingen / Tel.: +49 (6202) 855038
>  Mobil: +49 (172) 7694555 / URL: http://www.gromer-online.de
>