Heb nu sinds een half dag een Blade VPS van Transip.
Paar domeintjes opgezet om te testen etc, maar niks draaiend waar iemand iets van weet o.i.d.

En heb nu al waarschuwingen van het systeem dat er een brute force attack plaats heeft gevonden op de root.

Is dat normaal dat dat zo snel kan?? En moet ik daar iets aan doen verder?

dat is wellicht wat snel, maar niet ongebruikenlijk

Dat komt vaker voor dan je denkt. Hackers scannen subnets doorlopend en die weten ook wel dat, zodra een nieuw ip een reply geeft, een vps/server meestal nog niet helemaal beveiligd/geconfigureerd is.

Maak bvb een dummy user aan met dewelke je kan aanloggen
en un-comment "#PermitRootLogin no" in /etc/ssh/sshd_config.
Zo heeft brute force op root weinig zin en kan jij nog steeds op
de machine via de dummy user.

Maak bvb een dummy user aan met dewelke je kan aanloggen
en un-comment "#PermitRootLogin no" in /etc/ssh/sshd_config.
Zo heeft brute force op root weinig zin en kan jij nog steeds op
de machine via de dummy user.

Een andere optie is PermitRootLogin op nopassword zetten en met een public key inloggen.

je gebruikt een publiek IP en zal al na 0 milliseconde attacks kunnen ontvangen

Maak bvb een dummy user aan met dewelke je kan aanloggen
en un-comment "#PermitRootLogin no" in /etc/ssh/sshd_config.
Zo heeft brute force op root weinig zin en kan jij nog steeds op
de machine via de dummy user.

Kan ik bijvoorbeeld ook alleen zo een root login tegenhouden door sshd_config te editen via directadmin, en dan alleen verder werken in direct admin. En mocht het dan nodig zijn om weer in de root te komen dat ik die regel weer even uitschakel?

Ik ga even zoeken naar info over een dummy user of public key, misschien iemand een goede URL ?


Edit:
Zijn dit goede stappen? : http://subosito.com/2012/01/securing-ssh-preventing-nightmare/

Root access via SSH is nu al uitgeschakeld.
Krijg het alleen niet voor elkaar om bijv. de SSH op een andere poort te zetten. Kan de instelling wel maken en restarten maar dan geeft hij me geen toegang als ik op de nieuwe ingestelde poort wil verbinden.

Vanmorgen zag ik weer een kleine attack, grappig dat al die attacks steeds uit China komen

Als je geen legitieme verkeer uit China verwacht, kun die door middel van CSF preventief afsluiten

Als je geen legitieme verkeer uit China verwacht, kun die door middel van CSF preventief afsluiten
Grapje toch he? ;)

Tja, omgekeerd doet China dat ook ;)

Het is natuurlijk altijd beter om al het SSH verkeer te blokkeren standaard en dan je eigen IP's te whitelisten, maar als dat niet kan is het op zich toch geen slecht idee om SSH verkeer vanaf dubieuze landen zoals China te blokkeren. Feit is nou eenmaal dat een groot deel van de brute force attacks daar vandaan komen.

En als je vrij zeker weet dat je zelf niet zo vaak zult inloggen met SSH vanuit China, kun je dat gewoon blokkeren :)

En als je dan toch inlogt vanuit China is iets van een VPN ook geen overbodige luxe. Kun je een raspberry pi van pcextreme voor gebruiken ;-)

Root access via SSH is nu al uitgeschakeld.
Krijg het alleen niet voor elkaar om bijv. de SSH op een andere poort te zetten. Kan de instelling wel maken en restarten maar dan geeft hij me geen toegang als ik op de nieuwe ingestelde poort wil verbinden.


Tip: zit je poort in de firewall open.

Het is natuurlijk altijd beter om al het SSH verkeer te blokkeren standaard en dan je eigen IP's te whitelisten, maar als dat niet kan is het op zich toch geen slecht idee om SSH verkeer vanaf dubieuze landen zoals China te blokkeren. Feit is nou eenmaal dat een groot deel van de brute force attacks daar vandaan komen.

En als je vrij zeker weet dat je zelf niet zo vaak zult inloggen met SSH vanuit China, kun je dat gewoon blokkeren :)
Het internet werkt alleen al lang niet meer zo dat je exact landen kunt uitbannen. Voor je het weet gaat ergens een CDN boer stuk en komt je data via een IP netwerk uit China. Bij wijze van.

Het internet werkt alleen al lang niet meer zo dat je exact landen kunt uitbannen. Voor je het weet gaat ergens een CDN boer stuk en komt je data via een IP netwerk uit China. Bij wijze van.

En wat heeft een server te zoeken op een CDN boer zijn servers, trouwens dan nog is het outbound wel mogelijk om naar gelijk wel land te connecten. Je kunt dus perfect downloaden van op je server naar landen die je inbound als reject/drop instelt.

Tip: zit je poort in de firewall open.

Het kwam uiteindelijk omdat de poorten die ik steeds koos niet toegelaten werden door iptables.
Daar even in geneust welke ik wel kon gebruiken en alles ging prima!

Het kwam uiteindelijk omdat de poorten die ik steeds koos niet toegelaten werden door iptables.
Daar even in geneust welke ik wel kon gebruiken en alles ging prima!

Klein detail: iptables is je firewall. Configureer je firewall (iptables) goed and off you go. Je zou ook naar CSF kunnen kijken maar neem je tijd hiervoor en controleer of alles nog werkt als je csf hebt ingeschakeld.