Sinds een week of 2 constateren wij een (behoorlijke) toename van "brute-force"attacks, waarbij er geprobeerd wordt in te loggen op bv. het root-account (right: net alsof we dat zouden toestaan :D ) en andere random of systeemaccounts door middel van een hoop pogingen met waarschijnlijk standaard of gegenereerde wachtwoorden.

Normaal hadden we dit zo af en toe eens, en dan maakte we ook een melding aan bij de provider, maar nu worden hele IP-reeksen afgescand en is het ondoenlijk geworden om deze allemaal te rapporten.

Constateren jullie hetzelfde en is dit dan de nieuwste trend omdat er steeds meer wordt gedaan om bv. PHP-injecties server-side onmogelijk te maken ?

Ik ben benieuwd..

Ja, dit hebben wij ook een hele tijd gehad, hetgene wij dit opgevangen hebben door ssh op een andere poort te zetten, een echte hacker heeft dit door, maar een kiddo kun je hier mee makkelijk afwenden..

Als dit inderdaad aanblijft gaan we inderdaad hetzelfde doen.

Opvallend is ook (ten opzichte van enkele maanden geleden) dat er nu veel IP-adressen uit China, Taiwan en Korea komen.

Geen last van gelukkig..

Waar we wél last van hebben dat zijn DDOS attacks in het kader van de aanvallen op regering.nl/overheid.nl/geenstijl.nl en diverse andere weblogs die persoonsgegevens postten van de beaamde aanvallers. Een van onze klanten was hier een van en daar gingen we :)

Origineel geplaatst door Dillard
Als dit inderdaad aanblijft gaan we inderdaad hetzelfde doen.

Opvallend is ook (ten opzichte van enkele maanden geleden) dat er nu veel IP-adressen uit China, Taiwan en Korea komen.

Heb daar ook veel last van de afgelopen 3 maanden, bij de ene server meer dan bij de andere. Dit gebeurd op vrijwel alle BSD servers die we hebben draaien.

Lijkt net of het een automatische portscanner is welke ook probeert in te loggen. Het komt niet alleen bij de SSH poorten voor maar ook bij de ftp en anonymous ftp poorten.

Inderdaad ook IP's uit china/taiwan/korea, waarschijnlijk worden daar gehackte computers gebruikt.

Hier het zelfde bij een aantal servers van klanten.

Waar we wél last van hebben dat zijn DDOS attacks in het kader van de aanvallen op regering.nl/overheid.nl/geenstijl.nl en diverse andere weblogs die persoonsgegevens postten van de beaamde aanvallers. Een van onze klanten was hier een van en daar gingen we Jullie ook al? Wat een gedoe was dat he? Wij hadden er ook last van.

DDOS hebben we weinig last van, ik zie wel vaak SSH access denied in de logs terugkomen maar nog niet overmatig.

Wij hebben hier sinds een week of 3 ook 'last' van. Vooral met IP's uit Azië inderdaad. Welke kernel draaien jullie (ik neem aan allemaal FreeBSD?)?

heb hier sins 3 maanden ook veel last van, waar wij er eerst 2 per maand hadden hebben we er nu 2 per dag

en sinds de laatste week zelfs 5 per dag.

Mja.. gelukkig bestaat er zoiets als BFD ;)

Inderdaad ook bij ons. FTP, SSH,... alles word geprobeerd.
Toch wel een paar per dag en ook meestal uit Azië :(

Origineel geplaatst door idServe
Wij hebben hier sinds een week of 3 ook 'last' van. Vooral met IP's uit Azië inderdaad. Welke kernel draaien jullie (ik neem aan allemaal FreeBSD?)?

Inderdaad, toevallig allemaal BSD-machines (4.9 en 5.2) maar ik vermoed dat ze gewoon IP-blokken afscannen, waarvan ze weten dat er "interessante" servers hangen..

Wij hebben het ook op andere servers dan freebsd gehad (Debian dus)

Gentoo, slackware, freebsd, openbsd,... Ik krijg het gewoon op alles.

De bruteforce attacks op o.a. FTP en SSH zijn al maanden aan de gang en zijn het resultaat van o.a. een aantal (worm-)virussen.
http://isc.sans.org heeft hier meer informatie over.

Offtopic:

Het zijn meestal computers uit Azie, omdat die makkelijk te hacken zijn. Die gasten daarzo letten niet op een ip. Je kan bvb zo inloggen via je eigen ip op die pc en niemand daar weet het.

Heb het hier ook, elke morgen een wastlijst aan ip's die op verschillende poorten een brute force aan het uitvoeren zijn...

Om even op het offtopic gedeelte door te gaan:


Origineel geplaatst door Dgerding
Offtopic:

Het zijn meestal computers uit Azie, omdat die makkelijk te hacken zijn. Die gasten daarzo letten niet op een ip. Je kan bvb zo inloggen via je eigen ip op die pc en niemand daar weet het.

Zijn het Aziatische computers of denk je dat het Aziatische computers zijn die bruteforcen?
Not everything is what it seems to be...

Het zijn aziatische (china) servers. Simpelweg omdat je daar voor werkelijk een appel en een ei een servertje hangt. Die servers zijn niet eenvoudig te hacken, zeker al niet omdat sysadmins daar weinig clue zouden hebben.. welnee tegenovergestelde is waar.

Sysadmins uit China en India hebben werkelijk veel verstand van zaken, neem dat maar van me aan.

Het gaat om colocatie servers van hackers uit diverse landen die simpelweg vanuit die goedkope locaties portscans lanceren.

Wij staan geen connectie tot SSH toe vanuit IPs die niet in de allow table staan, zo simpel ligt het. Ik zie dus niet dergelijke inlog problemen op onzeservers simpelweg omdat ze nooit zover komen dat ze een SSH login prompt krijgen.

Wel zien we de pogingen op onze IDS. Inderdaad relatief veel uit China.

PS: zodra je die brute forces op SSH in je logs ziet, heb je zowieso al een slechte standaard beveiliging. Just my 0.02 cents.

Origineel geplaatst door Beyonder
Wij staan geen connectie tot SSH toe vanuit IPs die niet in de allow table staan, zo simpel ligt het. Ik zie dus niet dergelijke inlog problemen op onzeservers simpelweg omdat ze nooit zover komen dat ze een SSH login prompt krijgen.

Wel zien we de pogingen op onze IDS. Inderdaad relatief veel uit China.

PS: zodra je die brute forces op SSH in je logs ziet, heb je zowieso al een slechte standaard beveiliging. Just my 0.02 cents.

Dat ligt volkomen aan je compilatie/installatie van OpenSSH. Sta je niet in mijn /etc/hosts.allow, dan krijg je geen SSH toegang (of uberhaupt een prompt).... *denkt even wat langer na*... en toch zie ik de melding in.... Juist, mijn IDS-logs :D.
nvrmd, *bloos*

Maar over het algemeen krijg je geen SSH bruteforce attacks (of scans) vanaf een colocatie-bak ergens in Azie, maar zijn het met een virus- / trojan- / backdoor geinfecteerde workstations. Net als uit de rest van de wereld dus. Vooral SDBot (http://www.google.nl/search?hl=nl&q=SDBot+%2Bsite%3Aisc.sans.org&btnG=Google+zoeken&lr=) schijnt nogal een hype te zijn, tegenwoordig.

We hebben iets niet liefs gedaan, we hebben namelijk de suprise terug gespeeld en een bak gehacked die hetzelfde probeerde op een klant.

FREEBSD machine, op een connectie die aardig wat transfer kan verstouwen binnen azie/china ( 6 megabyte/s is geen probleem, daarbuiten is het slomer) en waar de Amerikaanse "owner" zo nu en dan inlogged om te bekijken welke machines door deze machine zijn binnengedrongen.

Staan pakweg 7 progjes op om diverse scans uit te voeren op vooraf in de database aangegeven IP ranges :)

Voornamelijk EU machines.

Inmiddels is er contact opgenomen met de autoriteiten.

Inloggen met een wachtwoord als root kan niet eens bij onze configuratie. Daarvoor gebruiken we X509 authenticatie (RSA), wel zo veilig.

njah ie test ook accounts zoals admin, test, etc... bij mij.

Origineel geplaatst door Beyonder
We hebben iets niet liefs gedaan, we hebben namelijk de suprise terug gespeeld en een bak gehacked die hetzelfde probeerde op een klant.

FREEBSD machine, op een connectie die aardig wat transfer kan verstouwen binnen azie/china ( 6 megabyte/s is geen probleem, daarbuiten is het slomer) en waar de Amerikaanse "owner" zo nu en dan inlogged om te bekijken welke machines door deze machine zijn binnengedrongen.

Staan pakweg 7 progjes op om diverse scans uit te voeren op vooraf in de database aangegeven IP ranges :)

Voornamelijk EU machines.

Inmiddels is er contact opgenomen met de autoriteiten.

Mooi dat je het zelf toegeeft, jezelf ook aangegeven ? Leuke reclame voor je eigen bedrijf, security bedrijf hacked zelf erop los :W: Maar goed jouw verhalen geloof ik toch geen fluit van.

In mijn pre-VEVIDA tijd heb ik het ook wel eens geprobeert om een cracker (na een succesvolle kraak) terug te tracen. Bij de derde proxy raakte ik het spoor kwijt, dit was een Windows-thuisgebruiker PC met iets als AnalogX (of ieder ander willekeurig Windows-proxy programma).
Natuurlijk de admins van de 2 voorgaande geroote Linux servers op de hoogte gesteld, zij waren hier zeer blij mee (hadden het nog niet in de gaten).

Het mag natuurlijk niet, maar soms moet je wel (en het niet dat er nou echt consquenties aan zitten).

@Mikey: Het is niet ongewoon dat men een server van waaruit hack aanvallen komen gaat onderzoeken, maar goed, wellicht begrijp je maar een deel van dit soort zaken, ik vergeef het je;)

Natuurlijk is het gedaan met medeweten van het betreffende colocatiebedrijf.

Security bedrijven doen ook security audits, wat feitelijk een poging is tot het hacken van de betreffende machine.

Origineel geplaatst door Beyonder
@Mikey: Het is niet ongewoon dat men een server van waaruit hack aanvallen komen gaat onderzoeken, maar goed, wellicht begrijp je maar een deel van dit soort zaken, ik vergeef het je;)


De victim kan nooit uit zichzelf handelen, stel ik hack sisco.pl , oom agent komt uiteindelijk bij mij dan zeg ik toch gewoon alé ze hadden mij ook gehacked, aangezien er zo`n grote zooi was heb ik mijn machine opnieuw installed dus heb ook geen logs. Beetje vreemde instelling. Tevens snap ik heel goed waar ik over praat, vanuit het security portal waarbij ik hoor organiseren we zo nu en dan contests, vergis je daar niet in. :X

Je weet niet waarover je praat, omdat je simpelweg niet alle feiten hebt en dus maar een verhaal in je hoofd maakt ervan.

Stel het genoemde bedrijf hacked jou, althans, vanuit een server van Cisco word jij server gehacked. Jij neemt contact op met Cisco en meld dat je graag deze server eens wil binnendringen om te bekijken wie achter de hack zit.

Cisco geeft jou dan accoord en je hacked de machine. Met behulp van gevonden data doe je de aangifte.

Illegaal? welnee, justitie een handje helpen noemen we dat.

Zullen we nu maar weer ontopic gaan?:)

Origineel geplaatst door Beyonder
Je weet niet waarover je praat, omdat je simpelweg niet alle feiten hebt en dus maar een verhaal in je hoofd maakt ervan.

Stel het genoemde bedrijf hacked jou, althans, vanuit een server van Cisco word jij server gehacked. Jij neemt contact op met Cisco en meld dat je graag deze server eens wil binnendringen om te bekijken wie achter de hack zit.

Cisco geeft jou dan accoord en je hacked de machine. Met behulp van gevonden data doe je de aangifte.

Illegaal? welnee, justitie een handje helpen noemen we dat.

Zullen we nu maar weer ontopic gaan?:)

Waarom zou cisco zelf geen actie ondernemen ? Het scheelt jouw tijd .

zodat het bedrijf misschien geintresseerd is om Beyonder
opdrachten te geven zoals security checks etc, niks mis mee toch?

Misschien, maar soms hebben ze zelf de tijd of kennis er niet voor :) Plus je hebt dan meerdere partijen die een dossier moeten opmaken. Ik zie voordelen in mijn methode. Degene met wie we coordineerden ook.

Hackers, DDOS en al dat spul is een groot probleem op Internet, helaas is het een probleem dat niet snel en effectief op te lossen is.

helaas wel ,

ik las een stuk dat grote internet sites zelfs worden bedreigd door ddos attacks mits ze een grote geld som overmaken,

neem als voorbeeld de site geenstijl.nl die verleden week flink onder vuur was genomen, het is toch vrijheid van meningsuiting wat hun op die site zetten en dat er een paar pubers het er niet mee eens zijn even heel de provider plat legt waar geenstijl word gehost.

hoevaak moet ik wel niet bij kennisen komen om "even hun pc te maken" met netstat -an zie je dat er weet niet hoeveel connecties zijn naar irc netwerken waar hun pc als zombie host word gebruikt.

het enige wat ik zo nog kan bedenken om ddos aanvallen tegen te houden is om internet leveranciers hier verantwoordelijk voor te houden en hun zouden dan grote mega firewalls moeten neerzetten (die zijn er) om zo doende syn floods , udp floods etc te filteren.
Misschien zou het nog wel eens handig zijn om bepaalde netwerken in china af te sluiten.

Origineel geplaatst door sander
helaas wel ,

ik las een stuk dat grote internet sites zelfs worden bedreigd door ddos attacks mits ze een grote geld som overmaken,

neem als voorbeeld de site geenstijl.nl die verleden week flink onder vuur was genomen, het is toch vrijheid van meningsuiting wat hun op die site zetten en dat er een paar pubers het er niet mee eens zijn even heel de provider plat legt waar geenstijl word gehost.

hoevaak moet ik wel niet bij kennisen komen om "even hun pc te maken" met netstat -an zie je dat er weet niet hoeveel connecties zijn naar irc netwerken waar hun pc als zombie host word gebruikt.

het enige wat ik zo nog kan bedenken om ddos aanvallen tegen te houden is om internet leveranciers hier verantwoordelijk voor te houden en hun zouden dan grote mega firewalls moeten neerzetten (die zijn er) om zo doende syn floods , udp floods etc te filteren.
Misschien zou het nog wel eens handig zijn om bepaalde netwerken in china af te sluiten.

Firewall allemaal leuk lief een aardig, maar als data eenmaal op weg is bevuil je toch een netwerk. Men zo dan moeten filteren dat op het "grote" netwerk niks komt, dus voordat je iets de transits op stuurt er gefilterd wordt.

dat bedoel ik dus :)

Origineel geplaatst door Beyonder
Misschien, maar soms hebben ze zelf de tijd of kennis er niet voor :) Plus je hebt dan meerdere partijen die een dossier moeten opmaken. Ik zie voordelen in mijn methode. Degene met wie we coordineerden ook.

Hackers, DDOS en al dat spul is een groot probleem op Internet, helaas is het een probleem dat niet snel en effectief op te lossen is.

Tuurlijk wel, lees jij tweakers.net niet Beyonder? :p

Binnekort als de antivirus software in de routers van 'het Web' zitten geintegreerd zullen de meeste virussen en dus ook DDOS wormpjes gestopt worden tijdens het verspreiden.. dan kunnen ze enkel nog alleen in de ISP verspreiden of misschien helemaal niet meer.

Dit zou een stap in de goede richting zijn. Misschien dat de website van Trend Micro hier al iets van bekend heeft gemaakt ;)

-

Ontopic:

Die ssh bruteforce scripts die uitgekomen zijn zullen ook wel 1 van de oorzaken zijn. Scriptkiddies die in azie een servertje inpikken en dan massaal nederlandse server gaan proberen te pakken.. triest eigenlijk..

dit gaat de heledag door

Oct 13 12:49:01 skyberate sshd[17213]: Failed password for root from 69.41.236.202 port 51778 ssh2
Oct 13 12:49:01 skyberate sshd[11699]: Failed password for root from 69.41.236.202 port 51783 ssh2
Oct 13 12:49:01 skyberate sshd[12897]: Failed password for root from 69.41.236.202 port 51783 ssh2

elke seconde wel stuk of 10 pogingen van dat zelfde ip, dan weer andere ip's mijn hele logs zitten er vol van

lol :p

is het dan niet beter om ssh achter de firewall te zetten? ik neem dan aan dat er verder geen klanten zijn die er gebruik van maken. en om het helemaal leuk te maken, zet hem op een andere port en achter de vuurmuur. Ik draai ook freeBSD maar heb er "nog" niet echt last van.

meer eigen gebruikers die hun PW na de eerste keer op de FTP nog niet weten :P en pas na 3x wel. elke dag :P

Origineel geplaatst door MaffeMuis
is het dan niet beter om ssh achter de firewall te zetten? ik neem dan aan dat er verder geen klanten zijn die er gebruik van maken. en om het helemaal leuk te maken, zet hem op een andere port en achter de vuurmuur. Ik draai ook freeBSD maar heb er "nog" niet echt last van.

meer eigen gebruikers die hun PW na de eerste keer op de FTP nog niet weten :P en pas na 3x wel. elke dag :P

nah denk dat ssh poorten omhoog takelen naar een hogere poort al veel wonderen doet, al die scanners lopen dan al door.

ik zie het hier ook:
Oct 10 13:02:27 srv02 sshd[6599]: Failed password for test from 12.111.217.197 port 57562 ssh2
Oct 10 13:02:28 srv02 sshd[6601]: Illegal user guest from 12.111.217.197
Oct 10 13:02:28 srv02 sshd[6601]: Failed password for illegal user guest from 12.111.217.197 port 57613 ssh2
Oct 10 13:02:29 srv02 sshd[6603]: Illegal user admin from 12.111.217.197
Oct 10 13:02:29 srv02 sshd[6603]: Failed password for illegal user admin from 12.111.217.197 port 57656 ssh2
Oct 10 13:02:35 srv02 sshd[6605]: Illegal user admin from 12.111.217.197
Oct 10 13:02:35 srv02 sshd[6605]: Failed password for illegal user admin from 12.111.217.197 port 57925 ssh2
Oct 10 13:02:36 srv02 sshd[6607]: Illegal user user from 12.111.217.197
Oct 10 13:02:36 srv02 sshd[6607]: Failed password for illegal user user from 12.111.217.197 port 57976 ssh2
Oct 10 13:02:37 srv02 sshd[6609]: Failed password for root from 12.111.217.197 port 58039 ssh2
Oct 10 13:02:38 srv02 sshd[6611]: Failed password for root from 12.111.217.197 port 58089 ssh2

en zo maar verder..

Wij krijgen veel van deze meldingen te zien:

The remote system 210.250.51.252 was found to have exceeded acceptable login failures on primary.webhostingtalk.nl. As such the attacking host has been banned from further accessing this system; for the integrity of your host you should investigate this event as soon as possible.

The following are event logs for exceeded login failures from 210.250.51.252 (all time stamps are GMT +0200):
----
- Executed actions:
/etc/apf/apf -d 210.250.51.252


:)

[ Edit ]

Erger als dat ik dacht.


Oct 13 05:31:30 debian sshd[7034]: Failed password for root from 211.241.167.205 port 3478 ssh2
Oct 13 05:31:30 debian sshd[7035]: Failed password for root from 211.241.167.xxx port 3479 ssh2
Oct 13 05:31:30 debian sshd[7040]: Failed password for root from 211.241.167.xxx port 3510 ssh2
Oct 13 05:31:31 debian sshd[7042]: Failed password for root from 211.241.167.xxx port 3539 ssh2
Oct 13 05:31:31 debian sshd[7043]: Failed password for root from 211.241.167.xxx port 3555 ssh2
Oct 13 05:31:31 debian sshd[7044]: Failed password for root from 211.241.167.xxx port 3556 ssh2
Oct 13 05:31:31 debian sshd[7045]: Failed password for root from 211.241.167.xxx port 3557 ssh2
Oct 13 05:31:31 debian sshd[7047]: Failed password for root from 211.241.167.xxx port 3559 ssh2
Oct 13 05:31:33 debian sshd[7057]: Failed password for root from 211.241.167.xxx port 3723 ssh2
Oct 13 05:31:33 debian sshd[7060]: Failed password for root from 211.241.167.xxx port 3771 ssh2
Oct 13 05:31:33 debian sshd[7054]: Failed password for root from 211.241.167.xxx port 3694 ssh2
Oct 13 05:31:33 debian sshd[7053]: Failed password for root from 211.241.167.xxx port 3691 ssh2

Dezelfde ip's inderdaad, en flink wat per seconde ...

En dat op een vrij niet-commerciele server :(

Edit: Laten we al die ip's bij mekaar proppen, zou flinke db worden.

Ik heb er al aardig wat in mijn firewall staan voor alle servers, zo heeft er niemand last van ;)

@Domenico
Ik ben ook goed bevriend met APF Firewall ;). Voor de mensen die het nog niet kennen: http://www.rfxnetworks.com/apf.php.

Het gaat hier ook de hele dag door. Op dit moment wordt er dagelijks per server een nieuwe firewall (iptables) geplaatst, aangezien ieder IP waardoor er gescanned is een week in de drop list komt te staan.
Dit werkt tot nog toe wel goed.

(IP éénmalig invoeren zorgt ervoor dat alle servers bij de volgende update het in de firewall hebben staan, heel erg handig systeem :D)

Maar er zou op korte termijn echt iets aan gedaan moeten worden eigenlijk, het is toch te gek voor woorden als er per server een scan of 10 per dag zijn...

ikke nog helemaal nergens last van..

behalve dan van scriptkiddies die proberen Apache om zeep te helpen en dan vergeten de Apache op hun eigen thuispc (met de root op hun map met tools) uit te zetten..

SSH instellen met root uitgeschakeld, enkel de admins kunnen inloggen als user en daarna su doen. Een losstaand IP en een andere poort dan de standaardpoort icm een firewall en filtering.. zo heb ik het op het moment en lijkt me ook de beste optie..

Je helemaal niks aantrekken van de scans is naar mijn idee het beste. Het is "vertrouwd" achtergrond ruis op internet.

That is, als je zeker weet dat je systemen goed beveiligd zijn. Naar mijn idee (ja, alweer ;)) zijn tcpwrappers + geen root logins daarvoor een ideale oplossing. Security by obscurity (ssh op een andere poort draaien) is alles behalve een oplossing, zolang je je sshd niet verder beveiligd.

Origineel geplaatst door Digiover
Je helemaal niks aantrekken van de scans is naar mijn idee het beste. Het is "vertrouwd" achtergrond ruis op internet.

That is, als je zeker weet dat je systemen goed beveiligd zijn. Naar mijn idee (ja, alweer ;)) zijn tcpwrappers + geen root logins daarvoor een ideale oplossing. Security by obscurity (ssh op een andere poort draaien) is alles behalve een oplossing, zolang je je sshd niet verder beveiligd.

Klopt, maar je houdt wel de scriptkiddies grotendeels weg van hun liet0 0days k-otic exploits :)

Origineel geplaatst door Digiover
[That is, als je zeker weet dat je systemen goed beveiligd zijn. Naar mijn idee (ja, alweer ;)) zijn tcpwrappers + geen root logins daarvoor een ideale oplossing. Security by obscurity (ssh op een andere poort draaien) is alles behalve een oplossing, zolang je je sshd niet verder beveiligd. [/B]

Het lijkt me dat je alle middelen die je hebt moet inzetten, dus ook obscurity middelen. Daarmee zeef je al een heel groot deel weg, in ieder geval is dat in mijn geval wel zo. Logisch ook want een rechtgeaarde scriptkiddy rammelt alleen aan de defaultpoorten. :)
Geen root logins lijkt me sowieso een standaardinstelling.

<off-topic>
Oh trouwens: hoi Jan, het is even geleden van Usenet.
"Ken je me nog? Ik jou wel." :D
</off-topic>

Origineel geplaatst door Redevelopment
<off-topic>
Oh trouwens: hoi Jan, het is even geleden van Usenet.
"Ken je me nog? Ik jou wel." :D
</off-topic>

Hey Ruben! :D
(toch? ;))

Origineel geplaatst door Digiover


Hey Ruben! :D
(toch? ;))

Ja in één keer goed. a.h.n zo'n vijf jaar geleden denk ik inmiddels. Die goeie ouwe tijd. :D

Inderdaad, die login pogingen via ssh met bots zijn echt irritant. Kan een server (kernel) hierdoor eigenlijk crashen? Laat ons zeggen, je krijgt 6 of 7 login pogingen per seconde door, dit langer dan een uur aan een stuk en de server is redelijk belast dus 50% of hoger.

Normaal heeft een server hier weinig last van, en zou hij er zeker niet door mogen crashen. SSH op een andere poort, of firewallen, of intelligente firewall-update-scripts (na 3 verkeerde pogingen van een bepaald IP, IP voor 5 min blocken...) zijn allemaal oplossingen...

Mja, ik heb het gevoel, dat als je server al redelijk veel connecties heeft en een redelijk hoge load door normaal gebruik, en er 7 connecties per seconde bijkomen (dit langer als een uur), dat de kernel toch effe naar lucht moet happen. Ik denk dat er ergens een buffer ofzo volloopt, kan dit?
Kan je voorbeelden geven van goede firewall update scripts?

Voorbeelden kan ik niet geven, wij gebruiken dat niet. Verder moet je het zelf een beetje aanvoelen als de server er last van heeft. Gaat de load spectaculair omhoog? Komen er timeouts, lag,... Indien 'ja', dan moet je ingrijpen...

Ja, de load stijgt op een moment zeer snel, en dan is ie onbereikbaar via de netwerk connectie (buffer overflow, kernel stressed door teveel pakketten, te grote buffer?).

Zijn er mensen die dit ook al meegemaakt hebben?

@Burnout: Weet je zeker dat je machine al niet gehackt is? En een (D)DoS uitstuurt?
Geen enkele (fatsoenlijke) Linux of Unix machine zal last hebben van bruteforce attacks (al dan niet op ssh). Wordt een connectie op ssh meteen gedropped omdat het IP adres niet in de hosts.allow lijst staat (tcpwrappers), dan kost het zelfs vrijwel geen systeem resources.

Indien je hier de mogelijkheden / resources toe hebt, en uiteraard: tijd, speel eens met de sniffpoort op je switch waar de machine aanhangt. Of, als het nog te vertrouwen is, tcpdump op de machine zelf.

Ik heb ergens een firewall bestandje staan dat wordt gedistributeerd onder de servers die ik beheer... zo hebben zij alle dezelfde firewall.

Management servers is ook de truc om dit te voorkomen stukje advanced security.

Offtopic:

Advanced security ? neen..gewoon goed je zaken op orde hebben.. tcpwrappers gebruiken.. geen version disclore... en lekker op een andere poort draaien..en als je al toch bezig bent: SSH Keys gebruiken, scheelt een hoop kopzorgen...

Bovendien kun je ook bij de meeste SSH servers LoginGrace time iets lager zetten, recentelijke SSH exploits moeten eerst de goeie offset vinden.... en dit duurt zowiezo even.. en we mogen toch wel aannemen dat de gemiddelde persoon hier wel binnen 5-10 seconden zijn wachtwoord heeft ingetikt? ;)

Ontopic:
Inderdaad wel een grote increase, maar dit heeft inderdaad te maken met wat worms e.d. zoals DigiOver al zei (In ons geval dan)

Wat is veel :)? Wij blokkeren (automatisch) een stuk of ~8 bruteforce attacks per dag, allemaal op SSH (soms een klant die loopt te klooien met FTP, maar die wordt dan weer ge-unblocked).

Soms doe ik nog een whois op de IP's en zie dan dat het Asiatische IP's zijn. Ik neem niet eens meer de moeite ze te reporten, het is toch vechten tegen de bierkaai.

Dit aantal is trouwens inderdaad een stukje toegenomen, maar ik lig er niet wakker van ;). Misschien SSH maar op een andere poort zetten (hoewel er ook klanten zijn die gebruik maken van SSH en die willen toch eigenlijk altijd zoveel mogelijk 'standaard').

Jochem

Hebben wij ook erg veel last van (gehad). Nu hebben wij een simpel perl scriptje draaien wat checked hoeveel keer er in een bepaalde tijd een foute login van een bepaald IP komt. Het IP wordt dan geblokkeerd door de firewall en men kan bij geen van de servers meer.

Users die bijvoorbeeld perongeluk geblokkeerd raken kunnen zichzelf (of andere personen) via ons control panel unblocken. De blokkering wordt daarnaast ook na 48 uur ook automatisch opgeheven.

Geen enkele (fatsoenlijke) Linux of Unix machine zal last hebben van bruteforce attacks (al dan niet op ssh).

Kan ik tegenspreken hoor. We hebben het probleem volledig blootgelegd. Als je machine een zogenaamde entropy exhaust heeft, zit je wel degelijk met een probleem. De machine crashed niet, maar ssh wordt wel onmogelijk gemaakt hierdoor (en andere services die /dev/random gebruiken).

Btw, iemand aanbevelingen voor goede software die rootkits kan ontdekken?

www.rootkit.nl
www.chkrootkit.org

Ik zit sinds kort bij euroaccess en heb er ook erg veel last van. Wat ik heel apart vind, is dat ik binnen 2 dagen nadat ik mijn server in een verse iprange heb geïnstalleerd hier al last van heb. Ik zie vooral machines uit rusland en israel, waar ik het idee krijg dat dit gewoon zombie machines zijn, aangezien alle gegevens zo zijn op te vragen. Ik heb het bij de verschillende providers al gemeld op hun abuse account, maar heb nog niets gehoord.

Ik neem ook niet meer de moeite om naar abuse te mailen. Het zijn gewoon mensen met een PC zonder firewall. Ervoor zorgen dat je eigen security in orde is helpt meer imo.

Dat laatste klopt natuurlijk, het alleen wel heel erg vervelend dat je logs vervuilt worden met al die troep.