Hallo,

Ik heb ergens een Directadmin server. Deze beschikt over BFD en APF. Dagelijks krijg ik een email met logging van een brute force attack. Nou worden de attackers wel netjes geblokkeerd, maar is het normaal dat dit elke dag voor komt?

Ik zoek dus een oplossing die het attacken stopt. Niet hoe ik ssh op een andere poort zet, root login disablen, of login toestaan vanaf een enkel ip..

Zijn er nog enkele maatregelen te nemen?

Thnx!

Redelijk normaal dat je dit soort meldingen binnen krijgt, er zijn verschillende scripts waar eenvoudig een iprange in gezet wordt. Ze weten min of meer welke ranges gebruikt worden voor servers die in datacenters staan. Deze worden vervolgens gescanned getracht in te loggen lukt dit niet of worden ze geblokkeerd gaan ze naar het volgende ip toe.

Inderdaad vrij normaal.
De ene server heeft er meer last van dan andere.

Hallo,

Zijn er nog enkele maatregelen te nemen?

Thnx!

Je server niet aan het internet hangen ;-) want dit is standaard op het grote boze interwebs..

Kan je niks tegen doen... Hier krijg ik ze ook =)
Als ze je rootwachtwoord gekraakt hebben (wat normaal niet zou mogen omdat je geen root toegang zou moeten willen op SSH) dan krijg je daar ook mail van ;)

Dag Serve-xs,

Ik werk met ip filtering en SSH hop hosts. Vanaf een paar plekken kan ik direct naar al mijn machines en van de rest van 't Internet kan ik alleen via zo'n hop host. Zo kan ik mijn werk doen vanaf de normale plekken. Als ik op zakenreis ben (zoals nu toevallig) moet ik even via een hop host.

Wel zorgen dat je een paar ongerelateerde hop hosts hebt. Voor als er eentje uit gaat. :)

Kees Jan

SSH op een andere poort draaien helpt ook veel.

Of bij x logins per tijdeenheid y vanaf host z de verbinding droppen.

fail2ban werkt ook heel goed, als een ssh of ftp x maal verkeerd is ingevoerd, wordt het ipadres tijdelijk geblokkeerd (via iptables of host.deny). En fail2ban stuurt een mailtje met ip whois gegevens van de aanvaller naar je mailbox.

fail2ban werkt ook heel goed, als een ssh of ftp x maal verkeerd is ingevoerd, wordt het ipadres tijdelijk geblokkeerd (via iptables of host.deny). En fail2ban stuurt een mailtje met ip whois gegevens van de aanvaller naar je mailbox.

Dat doet LFD ook :)

Ik zou persoonlijk naar CSF en LFD kijken. Die is wat ruimer in de configuratie en geeft geblokkeerde ip's ook na een ingestelde tijd weer vrij. Ook is deze wat vriendelijker met de FTP settings dan BFD.

EN het zit geïntegreerd in DA. Erg handig kan ik je melden.

Ik zou persoonlijk naar CSF en LFD kijken.

Die kan ik je ook aanraden

De features van CSD & LFD zien er goed uit, is deze ook algemeen te gebruiken (zonder DA) op een linuxserver?

Jazeker kan dat :)
Dat doe ik hier ook op mijn thuis server.
Je configuratie gaat dan via de csf.cfg

jah hoor

Ik heb even csf getest op een ubuntu server, de installatie en configuratie is simpel en de inbound & outbound poorten zijn makkelijk in te stellen

Ik heb even csf getest op een ubuntu server, de installatie en configuratie is simpel en de inbound & outbound poorten zijn makkelijk in te stellen

Klopt, het werkt allemaal erg soepel. Denk er wel even aan (en dat verteld de installatie je ook als het goed is), dat je APF en BFD verwijderd als je CSF gaat gebruiken.

De meest genoemde oplossingen ken of heb ik al. Het ging meer om een permanente oplossing om ze tegen te gaan. Niet om het mogelijke hacken te voorkomen.

Logischerwijs ga je zo iets gewoon niet tegen. Er zullen altijd kiddies blijven die een obscuur scriptje downloaden en deze dan per IP-adres laten afgaan. De meldingen kun je alleen tegengaan door een andere poort voor je SSH te kiezen. Is niet veiliger, maar zorgt er wel voor dat je niet iedere dag zo'n melding krijg te zien.

Logischerwijs ga je zo iets gewoon niet tegen. Er zullen altijd kiddies blijven die een obscuur scriptje downloaden en deze dan per IP-adres laten afgaan. De meldingen kun je alleen tegengaan door een andere poort voor je SSH te kiezen. Is niet veiliger, maar zorgt er wel voor dat je niet iedere dag zo'n melding krijg te zien.

Het leuke hier aan is dat ik nog nooit een attack op de default poort heb gezien. Ze gaan allemaal naar poort 3xxx 4xxx 5xxx en 6xxx.

ssh certificates gebruiken en inderdaad ssh naar een andere poort gooien. Ben je helemaal van de zorgen af. Password dictionary attacks hebben dan ook geen zin meer. :-)

Ik heb zelf BFD + APF buiten gegooid. Een server die het al 2 jaar draaide deed er meer dan een half uur over om APF terug op te starten door de gigantische lijst geblokkeerde IP adressen. En na enkele dagen telkens opnieuw die mails te moeten verwijderen uit je inbox van elke hack poging, raak je die mails ook snel beu gezien. Ik draai nu CSF + LFD. Deze stuurt ook nog steeds een mailtje elke keer root aanmeld via SSH.

Je kan apf de lijst zelf laten opschonen vanaf een bepaald aantal regels.

Je kan apf de lijst zelf laten opschonen vanaf een bepaald aantal regels.En je kan ook de melding van emailen uitzetten in de configuratie net zoals bij CSF/LFD :)

Klopt, maar het is toch fijn om een beetje te blijven weten wat er op de server gebeurd. Daarnaast kun je de melding ook doorzetten naar het NOC. Vroeger waren het vooral IP-adressen uit China, maar tegenwoordig komt er toch ook wel 'ns een Nederlands IP-adres voorbij.

Klopt, maar het is toch fijn om een beetje te blijven weten wat er op de server gebeurd. Daarnaast kun je de melding ook doorzetten naar het NOC. Vroeger waren het vooral IP-adressen uit China, maar tegenwoordig komt er toch ook wel 'ns een Nederlands IP-adres voorbij.Klopt, heb ze wel eens doorgestuurd naar het desbetreffende bedrijf en tot nu toe nog nooit reactie gehad.