Hallo,

Sinds wij in het bezit zijn gameservers hebben wij opgemerkt dat in de auth.log file zeer veel entries in voorkomen van mensen die met allerlei usernames proberen op de server te komen (in te breken?).

Weet iemand hoe je dit kan tegen gaan?

Klein voorbeeldje:
Jun 22 02:41:49 apollo01 sshd[8548]: Illegal user fluffy from 38.117.242.11
Jun 22 02:41:50 apollo01 sshd[8550]: Illegal user admin from 38.117.242.11
Jun 22 02:41:51 apollo01 sshd[8552]: User test not allowed because not listed in AllowUsers
Jun 22 02:41:52 apollo01 sshd[8554]: Illegal user guest from 38.117.242.11
Jun 22 02:41:54 apollo01 sshd[8556]: Illegal user webmaster from 38.117.242.11
Jun 22 02:41:55 apollo01 sshd[8558]: User mysql not allowed because not listed in AllowUsers
Jun 22 02:41:56 apollo01 sshd[8560]: Illegal user oracle from 38.117.242.11
Jun 22 02:41:57 apollo01 sshd[8562]: Illegal user library from 38.117.242.11
Jun 22 02:41:59 apollo01 sshd[8564]: Illegal user info from 38.117.242.11
Jun 22 02:42:05 apollo01 sshd[8566]: Illegal user shell from 38.117.242.11
Jun 22 02:42:06 apollo01 sshd[8568]: Illegal user linux from 38.117.242.11
Jun 22 02:42:07 apollo01 sshd[8570]: Illegal user unix from 38.117.242.11
Jun 22 02:42:08 apollo01 sshd[8572]: Illegal user webadmin from 38.117.242.11
Jun 22 02:42:10 apollo01 sshd[8574]: User ftp not allowed because not listed in AllowUsers
Jun 22 02:42:11 apollo01 sshd[8576]: User test not allowed because not listed in AllowUsers
Jun 22 02:42:13 apollo01 sshd[8580]: Illegal user admin from 38.117.242.11
Jun 22 02:42:16 apollo01 sshd[8582]: Illegal user guest from 38.117.242.11
Jun 22 02:42:17 apollo01 sshd[8584]: Illegal user master from 38.117.242.11
Jun 22 02:42:18 apollo01 sshd[8586]: Illegal user apache from 38.117.242.11
Jun 22 02:42:23 apollo01 sshd[8592]: Illegal user network from 38.117.242.11
Jun 22 02:42:24 apollo01 sshd[8594]: Illegal user word from 38.117.242.11
Jun 22 02:42:46 apollo01 sshd[8624]: Illegal user admin from 38.117.242.11
Jun 22 02:42:48 apollo01 sshd[8626]: Illegal user admin from 38.117.242.11
Jun 22 02:42:49 apollo01 sshd[8628]: Illegal user admin from 38.117.242.11
Jun 22 02:42:50 apollo01 sshd[8630]: Illegal user admin from 38.117.242.11
Jun 22 02:42:54 apollo01 sshd[8636]: User test not allowed because not listed in AllowUsers
Jun 22 02:42:55 apollo01 sshd[8638]: User test not allowed because not listed in AllowUsers
Jun 22 02:42:57 apollo01 sshd[8640]: Illegal user webmaster from 38.117.242.11
Jun 22 02:42:58 apollo01 sshd[8642]: Illegal user user from 38.117.242.11
Jun 22 02:42:59 apollo01 sshd[8644]: Illegal user username from 38.117.242.11
Jun 22 02:43:00 apollo01 sshd[8646]: Illegal user username from 38.117.242.11
Jun 22 02:43:02 apollo01 sshd[8648]: Illegal user user from 38.117.242.11
Jun 22 02:43:04 apollo01 sshd[8652]: Illegal user admin from 38.117.242.11
Jun 22 02:43:06 apollo01 sshd[8654]: User test not allowed because not listed in AllowUsers
Jun 22 02:43:16 apollo01 sshd[8664]: Illegal user danny from 38.117.242.11
Jun 22 02:43:18 apollo01 sshd[8666]: Illegal user sharon from 38.117.242.11
Jun 22 02:43:20 apollo01 sshd[8668]: Illegal user aron from 38.117.242.11
Jun 22 02:43:21 apollo01 sshd[8670]: Illegal user alex from 38.117.242.11
Jun 22 02:43:23 apollo01 sshd[8672]: Illegal user brett from 38.117.242.11
Jun 22 02:43:24 apollo01 sshd[8674]: Illegal user mike from 38.117.242.11
Jun 22 02:43:28 apollo01 sshd[8676]: Illegal user alan from 38.117.242.11
Jun 22 02:43:29 apollo01 sshd[8678]: Illegal user data from 38.117.242.11
Jun 22 02:43:31 apollo01 sshd[8680]: User www-data not allowed because not listed in AllowUsers
Jun 22 02:43:32 apollo01 sshd[8682]: Illegal user http from 38.117.242.11
Jun 22 02:43:33 apollo01 sshd[8684]: Illegal user httpd from 38.117.242.11
Jun 22 02:43:34 apollo01 sshd[8686]: User nobody not allowed because not listed in AllowUsers
Jun 22 02:43:37 apollo01 sshd[8690]: User backup not allowed because not listed in AllowUsers
Jun 22 02:43:38 apollo01 sshd[8692]: Illegal user info from 38.117.242.11
Jun 22 02:43:39 apollo01 sshd[8694]: Illegal user shop from 38.117.242.11
Jun 22 02:43:40 apollo01 sshd[8696]: Illegal user sales from 38.117.242.11
Jun 22 02:43:42 apollo01 sshd[8698]: Illegal user web from 38.117.242.11
Jun 22 02:43:43 apollo01 sshd[8700]: Illegal user www from 38.117.242.11
Jun 22 02:43:44 apollo01 sshd[8702]: Illegal user wwwrun from 38.117.242.11
Jun 22 02:43:47 apollo01 sshd[8704]: Illegal user adam from 38.117.242.11
Jun 22 02:43:49 apollo01 sshd[8706]: Illegal user stephen from 38.117.242.11
Jun 22 02:43:50 apollo01 sshd[8708]: Illegal user richard from 38.117.242.11
Jun 22 02:43:51 apollo01 sshd[8710]: Illegal user george from 38.117.242.11
Jun 22 02:43:52 apollo01 sshd[8712]: Illegal user michael from 38.117.242.11
Jun 22 02:43:55 apollo01 sshd[8714]: Illegal user john from 38.117.242.11
Jun 22 02:43:57 apollo01 sshd[8716]: Illegal user david from 38.117.242.11
Jun 22 02:43:58 apollo01 sshd[8718]: Illegal user paul from 38.117.242.11
Jun 22 02:43:59 apollo01 sshd[8720]: User news not allowed because not listed in AllowUsers
Jun 22 02:44:01 apollo01 sshd[8722]: Illegal user angel from 38.117.242.11
Jun 22 02:44:02 apollo01 sshd[8724]: User games not allowed because not listed in AllowUsers
Jun 22 02:44:04 apollo01 sshd[8726]: Illegal user pgsql from 38.117.242.11
Jun 22 02:44:05 apollo01 sshd[8728]: Illegal user pgsql from 38.117.242.11
Jun 22 02:44:06 apollo01 sshd[8730]: User mail not allowed because not listed in AllowUsers
Jun 22 02:44:07 apollo01 sshd[8732]: Illegal user adm from 38.117.242.11
Jun 22 02:44:08 apollo01 sshd[8734]: Illegal user ident from 38.117.242.11
Jun 22 02:44:10 apollo01 sshd[8736]: Illegal user resin from 38.117.242.11
Jun 22 02:44:12 apollo01 sshd[8738]: Illegal user mikael from 38.117.242.11
Jun 22 02:44:13 apollo01 sshd[8740]: Illegal user mike from 38.117.242.11
Jun 22 02:44:15 apollo01 sshd[8742]: Illegal user suva from 38.117.242.11
Jun 22 02:44:16 apollo01 sshd[8744]: Illegal user webpop from 38.117.242.11
Jun 22 02:44:18 apollo01 sshd[8746]: Illegal user technicom from 38.117.242.11
Jun 22 02:44:19 apollo01 sshd[8748]: Illegal user susan from 38.117.242.11
Jun 22 02:44:20 apollo01 sshd[8750]: Illegal user sunsun from 38.117.242.11
Jun 22 02:44:23 apollo01 sshd[8754]: Illegal user sunny from 38.117.242.11
Jun 22 02:44:24 apollo01 sshd[8756]: Illegal user steven from 38.117.242.11
Jun 22 02:44:27 apollo01 sshd[8758]: Illegal user ssh from 38.117.242.11
Jun 22 02:44:28 apollo01 sshd[8760]: Illegal user search from 38.117.242.11
Jun 22 02:44:29 apollo01 sshd[8762]: Illegal user sara from 38.117.242.11
Jun 22 02:44:31 apollo01 sshd[8764]: Illegal user robert from 38.117.242.11
Jun 22 02:44:32 apollo01 sshd[8766]: Illegal user richard from 38.117.242.11
Jun 22 02:44:33 apollo01 sshd[8768]: Illegal user postmaster from 38.117.242.11
Jun 22 02:44:34 apollo01 sshd[8770]: Illegal user party from 38.117.242.11
Jun 22 02:44:36 apollo01 sshd[8772]: Illegal user michael from 38.117.242.11

En de lijst gaat maar door, we hebben al verschillende malen de providers proberen te bereiken maar krijgen geen antwoord terug.

Weet iemand hier iets op of kan ons raad geven hoe wij dit moeten oplossen.

ps. het voorbeeld is slechts van 1 ip maar de laatste tijd komen er gewoon meerdere ip's voor, varieend van de US, TW, BR, CO, NL, etc etc

Dit probleem hebben wij ook op verschillende server dit zijn gewoon kiddies die ips scannen op de ssh port met verschillenden usernames en password om er in te komen niks ergs aan de hand zou maar zeggen.
Alleen let er dus op dat je niet te makkelijke usernames en passwords gebruikt.

Heb voordurend op elke poort waar maar ssh draait zulke requests, zelf de switches. Gewoon een brute force hack waar sommige denken suc6 mee te hebben.

Er zijn al aantal topics hierover, dacht ook met wat mooie oplossingen zoals BFD etc...

haal je ssh poort van de standaard 22 poort, shceelt 99% van deze ongein.

bfd icm apf installeren.

Origineel geplaatst door The MAzTER
bfd icm apf installeren.Zou ik eigenlijk ook wel eens willen weten.

Waar staat BFD voor (Brute Force Detector :))? Heeft het veel zin e.d.? Wat zijn de beste manieren voor het beveiligen van een gameserver?

Waar staat BFD voor (Brute Force Detector :))?

Brute Force Detection



Heeft het veel zin e.d.? Wat zijn de beste manieren voor het beveiligen van een gameserver? [/B]

Iemand die een x aantal keren verkeerd inlogt, wordt automatisch door de firewall geblokkeerd en jij krijgt hiervan een melding per e-mail. Leuk om even door te spelen aan de provider van de boosdoener ;)

Edit : Wij hebben overigens geen GameServers, maar dat zal hier uiteraard net zo voor kunnen werken...

Ik werk met certificaten, iedere gebruiker die mag inloggen moet in een speciale groep zitten en dmv iptables mag er maar 2 keer per minuut worden ingelogd vanaf hetzelfde ip. De meeste van die scripts/bots krijgen dan wel last van timeouts en het is meteen niet meer interessant om brute force aan de slag te gaan.

Origineel geplaatst door dreamhost_nl


Brute Force Detection



Iemand die een x aantal keren verkeerd inlogt, wordt automatisch door de firewall geblokkeerd en jij krijgt hiervan een melding per e-mail. Leuk om even door te spelen aan de provider van de boosdoener ;)

Edit : Wij hebben overigens geen GameServers, maar dat zal hier uiteraard net zo voor kunnen werken...

ehh wil niet heel lullig zijn, maar BFD doet n.a.v. een Brute Force hack automatisch een mailtje sturen naar jou en de admin van de netblock (dit doet hij lookuppen, whois en zo haalt hij de netblock admin eruit)

Dus nogmaals mailen is dubbel, maar natuurlijk kan het wel "handig" zijn.
Zelfde als 1 keer bellen, kan er ook niet opeedaan worden maar wel bij 2 keer ;)

Plus, het is te logisch voor woorden, maar iedereen denkt "het zal mij niet gebeuren": kies MOEILIJKE ssh passwords die niet zo gemakkelijk te bruteforcen zijn.

Een paar klanten van ons hebben deze worm ook langs zien komen, en waren de klos :(

Zet je ssh op een andere poort en stel met AllowUsers in dat je maar met 1 account kan inloggen. Zo heb ik het dan tenminste op me servers.

ik heb ssh op andere port en in de firewall alleen allowed op mijn ip address.

Origineel geplaatst door _arno_
ik heb ssh op andere port en in de firewall alleen allowed op mijn ip address.

dat is dus niet handig, als je internet er uit ligt en er iets mis is met je server ben je de klos.

Origineel geplaatst door The MAzTER


dat is dus niet handig, als je internet er uit ligt en er iets mis is met je server ben je de klos.

ik mag aannemen dat hij ook wel een ip erin heeft staan van een andere locatie.

Zo niet, dan wordt het weer een leuk ritje naar het DC :).

BFD+APF werkt heel lekker, hoewel je geloof ik niet kan instellen hoe snel iemand geblokkeerd wordt. Heb ook vaak telefoontjes dat er iemand na 10x proberen in te loggen op de FTP geblokkeerd is... Die komt dan de hele server niet meer op!

SSH Permitrootlogin op no zetten en dan 1 of 2 gebruikers aanmaken die wel mogen inloggen werkt ook vrij aardig, in combinatie met 2 moeilijke wachtwoorden.

Origineel geplaatst door Unixboy


ehh wil niet heel lullig zijn, maar BFD doet n.a.v. een Brute Force hack automatisch een mailtje sturen naar jou en de admin van de netblock (dit doet hij lookuppen, whois en zo haalt hij de netblock admin eruit)


Zoiets kan ook uit staan... Sommige meldingen wil je nl. gewoonweg niet doorsturen... ;)

@TS :

1) Geen "Direct Login" toelaten, maar alleen via een andere gebruiker.
2) SSH op een andere poort dan de standaard 22.
3) BFD+APF

Origineel geplaatst door The MAzTER


dat is dus niet handig, als je internet er uit ligt en er iets mis is met je server ben je de klos.
Ik kan er ook nog bij bij een vriend van mij, dus dat is redelijk oke :)
Bovendien hoe groot is de kans als je internet eruit ligt en je server plat gaat?

Origineel geplaatst door _arno_

Bovendien hoe groot is de kans als je internet eruit ligt en je server plat gaat?

Ik heb het al 2 x gehad, das pas echt kut ;)

EDIT: wel in een termijn van 3 jaar maar kom ;)

Origineel geplaatst door luser


Ik heb het al 2 x gehad, das pas echt kut ;)

EDIT: wel in een termijn van 3 jaar maar kom ;)
Woei , dat is zeer matig! Wat heb je gedaan toen ? via analoge verbinding gefixt ? of naar internet cafe gegaan :)

Analoog gaat nog lekker, 56k is meer dan genoeg voor een set ssh verbindingen. Alleen het zoeken naar die wachtwoorden kan irritant worden, laat staan het modem :D

Origineel geplaatst door _arno_

Ik kan er ook nog bij bij een vriend van mij, dus dat is redelijk oke :)
Bovendien hoe groot is de kans als je internet eruit ligt en je server plat gaat?

Grooot ;)

Vorig jaar nog een storing bij een klant.
Mijn XS4ALL lag eruit...
Collega was op vakantie...
Andere collega was zijn bekabeling thuis aan het omgooien...

Echt tijd om een "winmodem" te gaan installeren was er niet, dus kortom heerlijk op zondagavond naar kantoor om daar te kunnen internetten, dwz., wachten op engineer!

Nu heb ik toch maar een laptopje met modem die overal mee gaat...

ik heb de afgelopen 5 jaar dat ik xs4all heb , heb ik er pas 2 keer uitgelegen. ( waar ik bij was ;) )
En als het een keer uitvalt moet je server ook nog eens plat gaan :D
Bovendien maakt het voor mij niet veel uit , heb geen levensbelangerijke server zoals jullie :)

Wat je ook kunt doen is niet met passwords werken, maar met SSH keys werken. Stukje veiliger alleen als je je key kwijt raakt ben je wel de klos.

Hmmm we hebben ssh poort veranderd en zijn bezig APF en BFD te installen :). Poort veranderen haalt veel illegal users weg dus best een aanrader voor een ieder die hier ook last van heeft.

Leuk topic dit wel...

Maar zag net wat op 2 van onse servers,
1 iemand probeert telkens als root in te loggen, natuuurlijk raadt hij hem niet..
Maar er komt elke seconde een login. En hij probeert het op vele standaard users.
Is dit een bot ofzo dat hij erop zet??..
ssh natuurlijk nu naar een andere poort gezet, maar wat bezielt zoiemand...
En hij logt telkens in op een ander ip adres, wat dus wel *** is.

Maar mijn hoofdvraag is dus, wat is dit.. gewoon 1 of andere script kiddie?..

gewoon een bot die op allerlei ip's op de standaard poort een brute force attack doet om je ssh te kraken.

Meestal als je ssh op een andere poort zet heb je het een stuk minder aangezien ze met zo een bot niet eerst al je poorten gaan scannen.

PermitRootLogon no, zorgen dat alle gebruikers die -niet- gebruik hoeven maken van ssh dat ook niet kunnen, en evt met een ssh verbinding via Tail kijken wat er aan de hand is als je denkt dat een site wordt ge-brute-forced.

Is dit er ook voor windows? Dat zou wel erg handig zijn om mijn FTP server en mijn extern bureaublad te beveiligen. Het komt namelijk vaak voor dat mensen wachtwoorden uitproberen.