Resultaten 1 tot 15 van de 30
Pagina 1 van de 2 1 2 LaatsteLaatste
Geen
  1. #1
    Onderzoekers waarschuwen voor toename ssh-aanvallen
    moderator
    4.749 Berichten
    Ingeschreven
    21/02/09

    Locatie
    Noord-Holland

    Post Thanks / Like
    Mentioned
    25 Post(s)
    Tagged
    0 Thread(s)
    185 Berichten zijn liked


    Naam: D. Koop
    Bedrijf: Yourwebhoster.eu
    Functie: baas
    URL: yourwebhoster.eu
    KvK nummer: 32165429
    View danielkoop's profile on LinkedIn

    Thread Starter

    Onderzoekers waarschuwen voor toename ssh-aanvallen

    Onderzoekers van het Internet Storm Center waarschuwen voor een mogelijke toename in het aantal bruteforce-aanvallen op root-accounts via ssh. Sinds medio november zou er een duidelijke toename van het aantal aanvallen op poort 22 zijn."We hebben berichten gekregen over aanhoudende bruteforce-aanvallen op het root-account via ssh", aldus Guy Bruneau van ISC in een blogposting. "Dit is al ongeveer een week aan de gang vanaf verschillende ip-adressen. Ik heb ook soortgelijke activiteiten gezien op een van mijn servers sinds halverwege november."Uit gegevens van Dshield.org blijkt dat er sinds 15 november een forse toename in het aantal aanvalspogingen op poort 22 wordt gerapporteerd. Dshield is een systeem dat wordt gevoed door firewall-logs die door beheerders vrijwillig worden gedeeld. Op basis van de data die wordt ingestuurd kunnen aanvalspatronen worden herkend.De piek lag op 15 november, met bijna 130.000 gerapporteerde aanvalspogingen. Sindsdien is het aantal pogingen iets gedaald en schommelde het in de afgelopen dagen rond de 100.000. Ook bij Tweakers.net is een verhoogde activiteit waar te nemen. Sinds 6 november zijn er op een van de servers al 11.100 pogingen gedaan om als root in te loggen, afkomstig van 141 verschillende ip-adressen. Ook constateren we veel bruteforce-aanvallen met usernames. In de maand november waren dit ruim 57.500 pogingen.Hoewel er in het verleden perioden zijn geweest met aanzienlijk meer aanvalspogingen op poort 22, is de stijging voor het ISC kennelijk opmerkelijk genoeg om er aandacht aan te besteden. De beveiligingsonderzoekers adviseren beheerders om niet via de standaardpoort naar een server te ssh'en en nooit als root in te loggen op een systeem, maar als reguliere gebruiker in te loggen en zonodig te sudo'en.
    Bron: http://tweakers.net/nieuws/78542/ond...aanvallen.html

    Nou zal iedereen het hier wel goed geregeld hebben, maar voor diegenen die nog steeds met root en een wachtwoord inloggen: ga nou over op key based login en/of sudo.
    Met vriendelijke groet, Yourwebhoster.eu - Managed VPS diensten met Epyc performance op 100% SSDs

    Lees hier de webhostingtalk.nl forum regels en voorwaarden!

  2. #2
    Onderzoekers waarschuwen voor toename ssh-aanvallen
    SolidHost
    8.296 Berichten
    Ingeschreven
    29/06/03

    Locatie
    Rotterdam/Amsterdam/Barcelona

    Post Thanks / Like
    Mentioned
    5 Post(s)
    Tagged
    0 Thread(s)
    323 Berichten zijn liked


    Naam: Andre van Vliet
    Bedrijf: SolidHost Managed Hosting
    Functie: CEO
    URL: www.solidhost.com
    KvK nummer: 24366308
    View andrevanvliet's profile on LinkedIn

    Citaat Oorspronkelijk geplaatst door Yourwebhoster Bekijk Berichten
    Nou zal iedereen het hier wel goed geregeld hebben
    Daar zou ik niet te snel van uit gaan, als je vorige week nog iemand zag die z'n WHMCS op een klantenserver draaide zonder ook maar enig ook voor beveiliging te hebben. Sterker nog; ik denk dat een grote hoeveelheid partijen nog steeds te weinig aan security doet (i.v.m. gebrek aan ervaring, gebrek aan tijd, of de instelling van "het is toch nog nooit mis gegaan, waarom zou dat nu dan wel mis gaan").

    Citaat Oorspronkelijk geplaatst door Yourwebhoster Bekijk Berichten
    maar voor diegenen die nog steeds met root en een wachtwoord inloggen: ga nou over op key based login en/of sudo.
    In principe horen belangrijke systemen sowieso niet extern te bereiken ze zijn maar enkel via VPN (of soortgelijke oplossing). Wat daarnaast ook handig/leuk kan zijn, is om SSH zelf op een andere poort te zetten, en op poort 22 een dummy daemon te laten draaien (die de 'hacker' laat denken dat hij daadwerkelijk binnen is gekomen, of op andere manieren hackertje pesten).

  3. #3
    Onderzoekers waarschuwen voor toename ssh-aanvallen
    moderator
    4.749 Berichten
    Ingeschreven
    21/02/09

    Locatie
    Noord-Holland

    Post Thanks / Like
    Mentioned
    25 Post(s)
    Tagged
    0 Thread(s)
    185 Berichten zijn liked


    Naam: D. Koop
    Bedrijf: Yourwebhoster.eu
    Functie: baas
    URL: yourwebhoster.eu
    KvK nummer: 32165429
    View danielkoop's profile on LinkedIn

    Thread Starter
    Citaat Oorspronkelijk geplaatst door Apoc Bekijk Berichten
    Daar zou ik niet te snel van uit gaan, als je vorige week nog iemand zag die z'n WHMCS op een klantenserver draaide zonder ook maar enig ook voor beveiliging te hebben. Sterker nog; ik denk dat een grote hoeveelheid partijen nog steeds te weinig aan security doet (i.v.m. gebrek aan ervaring, gebrek aan tijd, of de instelling van "het is toch nog nooit mis gegaan, waarom zou dat nu dan wel mis gaan").
    Doelde meer op SSH zelf, password authenticatie uit en een public key is een goed begin. En een dummy is idd leuk om te foolen, dan zal minder snel een scan uitgevoerd worden.
    Met vriendelijke groet, Yourwebhoster.eu - Managed VPS diensten met Epyc performance op 100% SSDs

    Lees hier de webhostingtalk.nl forum regels en voorwaarden!

  4. #4
    Onderzoekers waarschuwen voor toename ssh-aanvallen
    SolidHost
    8.296 Berichten
    Ingeschreven
    29/06/03

    Locatie
    Rotterdam/Amsterdam/Barcelona

    Post Thanks / Like
    Mentioned
    5 Post(s)
    Tagged
    0 Thread(s)
    323 Berichten zijn liked


    Naam: Andre van Vliet
    Bedrijf: SolidHost Managed Hosting
    Functie: CEO
    URL: www.solidhost.com
    KvK nummer: 24366308
    View andrevanvliet's profile on LinkedIn

    Het is inderdaad een begin - en dat probeerde ik ook juist te benadrukken: je bent er daarmee nog lang niet.

    SSH keys zijn leuk, maar hebben natuurlijk enkel nut wanneer de beveiliging op de apparatuur waar vanaf verbinding gemaakt wordt met de servers (zoals desktops en laptops waar veelal allerlei potentieel onveilige meuk draait, en telefoons die zo gestolen kunnen worden waarmee dmv de SSH key zo opeen server ingelogt kan worden).

    Het kan in die zin geen kwaad om naast de SSH key, OOK passwords te gebruiken. Zo kan men niet in 1 keer inloggen wanneer er op een client machine (die de ssh keys bevat) ingebroken wordt.

  5. #5
    Onderzoekers waarschuwen voor toename ssh-aanvallen
    3.810 Berichten
    Ingeschreven
    16/05/04

    Locatie
    Middelburg

    Post Thanks / Like
    Mentioned
    4 Post(s)
    Tagged
    0 Thread(s)
    130 Berichten zijn liked


    Registrar SIDN: Ja

    SSH keys met minimaal een passphrase! Op een andere poort dan 22 draaien doen wij overigens niet, dat is alleen maar irritant en beschermd je niet tegen een goede aanval. Daarnaast is het met veel servers die je te beheren hebt gewoon een crime.

    Wel veelvuldig gebruik maken van hosts.allow/hosts.deny en gewoon een centrale "jump-server" gebruiken.

  6. #6
    Onderzoekers waarschuwen voor toename ssh-aanvallen
    SolidHost
    8.296 Berichten
    Ingeschreven
    29/06/03

    Locatie
    Rotterdam/Amsterdam/Barcelona

    Post Thanks / Like
    Mentioned
    5 Post(s)
    Tagged
    0 Thread(s)
    323 Berichten zijn liked


    Naam: Andre van Vliet
    Bedrijf: SolidHost Managed Hosting
    Functie: CEO
    URL: www.solidhost.com
    KvK nummer: 24366308
    View andrevanvliet's profile on LinkedIn

    Citaat Oorspronkelijk geplaatst door Wido Bekijk Berichten
    Op een andere poort dan 22 draaien doen wij overigens niet, dat is alleen maar irritant en beschermd je niet tegen een goede aanval. Daarnaast is het met veel servers die je te beheren hebt gewoon een crime.
    Niets beschermt je tegen een goede aanval. Het is een kwestie van het de inbreker zo lastig mogelijk maken. Het is vaak vergelijkbaar met de inbraak in een huis; als er bij de buren veel makkelijker is om in te breken, is de kans aanzienlijk kleiner dat er bij jou ingebroken wordt (uiteraard, tenzij het om een 'inbraak op bestelling' gaat). Het veranderen van de SSH poort kan in die zin het toch net even moeilijker maken (vooral omdat er dan eerst een portscan nodig is om de juiste poort te vinden, en die portscan zou je dus weer kunnen detecteren). Maar dat is dan wel vooral van toepassing in een situatie waarin je SSH publiekelijk toegankelijk laat zijn. Wanneer je een jumpbox en/of VPN gebruikt, is dat natuurlijk al niet meer van toepassing.

    Verder zou je ook nog kunnen overwegen om iets als portknocking te gebruiken. Het is maar net hoe ver je wilt gaan.
    Laatst gewijzigd door Apoc; 05/12/11 om 17:23.

  7. #7
    Onderzoekers waarschuwen voor toename ssh-aanvallen
    Internet Services
    3.204 Berichten
    Ingeschreven
    27/03/06

    Locatie
    Utrecht

    Post Thanks / Like
    Mentioned
    14 Post(s)
    Tagged
    0 Thread(s)
    43 Berichten zijn liked


    Naam: Jeroen
    View nl.linkedin.com/in/jeroenvheugten's profile on LinkedIn

    Bij ons kan SSH alleen benaderd worden wanneer je over het interne netwerk komt. Extern is het dus niet mogelijk en zal je eerst een VPN verbinding met het kantoor moeten opzetten.

  8. #8
    Onderzoekers waarschuwen voor toename ssh-aanvallen
    +32 3 7478056
    1.087 Berichten
    Ingeschreven
    24/05/05

    Locatie
    [BE] Aalst

    Post Thanks / Like
    Mentioned
    1 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Naam: Joeri B.
    Bedrijf: GlobalServe BVBA
    Functie: CEO / CTO
    URL: globalserve.be
    Ondernemingsnummer: 0875203878
    View be.linkedin.com/in/joeribeirens's profile on LinkedIn

    Al iemand met RSA SecureID gespeeld of dergelijke?

  9. #9
    Onderzoekers waarschuwen voor toename ssh-aanvallen
    3.810 Berichten
    Ingeschreven
    16/05/04

    Locatie
    Middelburg

    Post Thanks / Like
    Mentioned
    4 Post(s)
    Tagged
    0 Thread(s)
    130 Berichten zijn liked


    Registrar SIDN: Ja

    Citaat Oorspronkelijk geplaatst door Apoc Bekijk Berichten
    Niets beschermt je tegen een goede aanval. Het is een kwestie van het de inbreker zo lastig mogelijk maken. Het is vaak vergelijkbaar met de inbraak in een huis; als er bij de buren veel makkelijker is om in te breken, is de kans aanzienlijk kleiner dat er bij jou ingebroken wordt (uiteraard, tenzij het om een 'inbraak op bestelling' gaat). Het veranderen van de SSH poort kan in die zin het toch net even moeilijker maken (vooral omdat er dan eerst een portscan nodig is om de juiste poort te vinden, en die portscan zou je dus weer kunnen detecteren). Maar dat is dan wel vooral van toepassing in een situatie waarin je SSH publiekelijk toegankelijk laat zijn. Wanneer je een jumpbox en/of VPN gebruikt, is dat natuurlijk al niet meer van toepassing.

    Verder zou je ook nog kunnen overwegen om iets als portknocking te gebruiken. Het is maar net hoe ver je wilt gaan.
    Een goede aanvaller vertraag je hoogstens met een minuut of 2 door je poort te veranderen.

    De meeste script-kiddo's die een root password verkrijgen van een machine doen vaak niets spannends. Ze installeren een IRC server, gebruiken de host om warez door te voeren, maar ECHT spannende dingen doen ze niet.

    SSH moet gewoon op poort 22 kunnen luisteren, als iemand door je key based login heen komt, dan heb je denk ik een groter probleem dan dat persoon wat inlogt. Als iemand door die login heen komt, dan gaat hij geen warez-hub van je machine maken, je problemen zijn dan wel groter.

  10. #10
    Onderzoekers waarschuwen voor toename ssh-aanvallen
    moderator
    4.749 Berichten
    Ingeschreven
    21/02/09

    Locatie
    Noord-Holland

    Post Thanks / Like
    Mentioned
    25 Post(s)
    Tagged
    0 Thread(s)
    185 Berichten zijn liked


    Naam: D. Koop
    Bedrijf: Yourwebhoster.eu
    Functie: baas
    URL: yourwebhoster.eu
    KvK nummer: 32165429
    View danielkoop's profile on LinkedIn

    Thread Starter
    Citaat Oorspronkelijk geplaatst door Wido Bekijk Berichten
    Een goede aanvaller vertraag je hoogstens met een minuut of 2 door je poort te veranderen.

    De meeste script-kiddo's die een root password verkrijgen van een machine doen vaak niets spannends. Ze installeren een IRC server, gebruiken de host om warez door te voeren, maar ECHT spannende dingen doen ze niet.

    SSH moet gewoon op poort 22 kunnen luisteren, als iemand door je key based login heen komt, dan heb je denk ik een groter probleem dan dat persoon wat inlogt. Als iemand door die login heen komt, dan gaat hij geen warez-hub van je machine maken, je problemen zijn dan wel groter.
    Ben ik niet helemaal met je eens, niet alle aanvallen zijn zo geavanceerd dat ze met een master communiceren. Een goede firewall kan poort scanners detecteren en dan blokkeer je hem, eitje. Maar als er sprake is van een master of ze communiceren met andere bots door welke poorten het niet zijn, dan heeft het al een minder groot effect. Maar de merendeel van de aanvallen die ik gezien heb en de achterliggende scripts zijn niet uitgebreid en dan heeft het dus veel meer effect.

    Edit: Daarnaast; met een dummy/ssh honeypot denkt de aanvaller dat hij er in is en zal hij in de meeste gevallen niet verder zoeken. Standaardaanvallen kan je hiermee goed voorkomen, als ze je echt willen aanvallen ben je op een gegeven moment toch wel de sjaak...
    Laatst gewijzigd door Yourwebhoster; 05/12/11 om 18:04.
    Met vriendelijke groet, Yourwebhoster.eu - Managed VPS diensten met Epyc performance op 100% SSDs

    Lees hier de webhostingtalk.nl forum regels en voorwaarden!

  11. #11
    Onderzoekers waarschuwen voor toename ssh-aanvallen
    moderator
    7.022 Berichten
    Ingeschreven
    29/07/03

    Locatie
    Nijmegen

    Post Thanks / Like
    Mentioned
    12 Post(s)
    Tagged
    0 Thread(s)
    175 Berichten zijn liked


    Naam: Mike
    Bedrijf: admin.nu
    URL: www.admin.nu
    Registrar SIDN: Ja
    KvK nummer: 09139651

    Citaat Oorspronkelijk geplaatst door Wido Bekijk Berichten
    Een goede aanvaller vertraag je hoogstens met een minuut of 2 door je poort te veranderen.
    Een goede aanvaller zal in de meeste gevallen ook gericht aanvallen, en denk ik niet te vergelijken met een botnet wat zo even langs komt.

  12. #12
    Onderzoekers waarschuwen voor toename ssh-aanvallen
    moderator
    6.028 Berichten
    Ingeschreven
    21/05/03

    Locatie
    NPT - BELGIUM

    Post Thanks / Like
    Mentioned
    39 Post(s)
    Tagged
    0 Thread(s)
    481 Berichten zijn liked


    Naam: Dennis de Houx
    Bedrijf: All In One
    Functie: Zaakvoerder
    URL: www.all-in-one.be
    Ondernemingsnummer: 0867670047

    Citaat Oorspronkelijk geplaatst door Yourwebhoster Bekijk Berichten
    Ben ik niet helemaal met je eens, niet alle aanvallen zijn zo geavanceerd dat ze met een master communiceren. Een goede firewall kan poort scanners detecteren en dan blokkeer je hem, eitje. Maar als er sprake is van een master of ze communiceren met andere bots door welke poorten het niet zijn, dan heeft het al een minder groot effect. Maar de merendeel van de aanvallen die ik gezien heb en de achterliggende scripts zijn niet uitgebreid en dan heeft het dus veel meer effect.

    Edit: Daarnaast; met een dummy/ssh honeypot denkt de aanvaller dat hij er in is en zal hij in de meeste gevallen niet verder zoeken. Standaardaanvallen kan je hiermee goed voorkomen, als ze je echt willen aanvallen ben je op een gegeven moment toch wel de sjaak...
    En daar ben ik het dan niet mee eens, als je dan toch een goede firewall hebt dan kan die evengoed bruteforce attacks detecteren en blokkeren. Ik ben het met wido eens dat een goede aanval niet geblokt word door even de poort te veranderen. Om wat script kiddo's tegen te houden kan het misschien wel helpen, alhoewel er ook tools te vinden zijn die bvb maar 5 poorten per sec scannen en dus de firewall ook omzeilen. En wat kan een hacker of script kiddo het schelen of het een minuut of een week duurt voor die binnen is, meeste starten gewoon hun tools (exploits) en wachten rustig af of het gelukt is. Verder maakt het gebruik van vpn of ssh toegang via fixed ip's in de firewall voor een echte hacker/pen tester niet veel uit. Deze zullen namelijk bijna altijd de moeilijkste weg gebruiken om het makkelijkste binnen te geraken. Zoals het hacken van een minder goed beveiligde laptop of computer van een beheerder of secretaresse of ... om zo via het trusted netwerk in te loggen op de servers.
    Dennis de Houx - All In One ~ Official ISPsystem partner

    Lees hier de webhostingtalk.nl forum regels en voorwaarden!



  13. #13
    Onderzoekers waarschuwen voor toename ssh-aanvallen
    moderator
    8.233 Berichten
    Ingeschreven
    29/03/03

    Post Thanks / Like
    Mentioned
    1 Post(s)
    Tagged
    0 Thread(s)
    266 Berichten zijn liked


    Naam: Ron
    Ondernemingsnummer: nvt

    Citaat Oorspronkelijk geplaatst door Apoc Bekijk Berichten
    Daar zou ik niet te snel van uit gaan, als je vorige week nog iemand zag die z'n WHMCS op een klantenserver draaide zonder ook maar enig ook voor beveiliging te hebben.
    En vervolgens doodleuk zichzelf aanbiedt bij een eenmalige opdracht om de server van opdrachtgever te beveiligen. Je vraagt je dan serieus af welke plaat er voor zijn hoofd hangt.

  14. #14
    Onderzoekers waarschuwen voor toename ssh-aanvallen
    geregistreerd gebruiker
    223 Berichten
    Ingeschreven
    23/11/11

    Locatie
    Grootebroek

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    4 Berichten zijn liked


    Naam: Brenno Hiemstra
    Bedrijf: Crossplatform
    Functie: Vennoot
    URL: www.crossplatform.nl
    KvK nummer: 37122647

    AllowRootLogin NO
    AllowUsers John

    Met deze beveiliging pak je heel veel login attempts....
    In mijn ogen is remote root login ook niet noodzakelijk.
    Als je wilt backuppen kan je ook met een backup account en sudo werken.

  15. #15
    Onderzoekers waarschuwen voor toename ssh-aanvallen
    moderator
    4.749 Berichten
    Ingeschreven
    21/02/09

    Locatie
    Noord-Holland

    Post Thanks / Like
    Mentioned
    25 Post(s)
    Tagged
    0 Thread(s)
    185 Berichten zijn liked


    Naam: D. Koop
    Bedrijf: Yourwebhoster.eu
    Functie: baas
    URL: yourwebhoster.eu
    KvK nummer: 32165429
    View danielkoop's profile on LinkedIn

    Thread Starter
    Citaat Oorspronkelijk geplaatst door The-BosS Bekijk Berichten
    En daar ben ik het dan niet mee eens, als je dan toch een goede firewall hebt dan kan die evengoed bruteforce attacks detecteren en blokkeren. Ik ben het met wido eens dat een goede aanval niet geblokt word door even de poort te veranderen. Om wat script kiddo's tegen te houden kan het misschien wel helpen, alhoewel er ook tools te vinden zijn die bvb maar 5 poorten per sec scannen en dus de firewall ook omzeilen. En wat kan een hacker of script kiddo het schelen of het een minuut of een week duurt voor die binnen is, meeste starten gewoon hun tools (exploits) en wachten rustig af of het gelukt is. Verder maakt het gebruik van vpn of ssh toegang via fixed ip's in de firewall voor een echte hacker/pen tester niet veel uit. Deze zullen namelijk bijna altijd de moeilijkste weg gebruiken om het makkelijkste binnen te geraken. Zoals het hacken van een minder goed beveiligde laptop of computer van een beheerder of secretaresse of ... om zo via het trusted netwerk in te loggen op de servers.
    Hangt er maar net van af hoe scherp je de firewall ingesteld hebt. brute force detectie moet je sowieso hebben, maar als het om een gedistribueerde aanval gaat (lees meerdere IP's die samenwerken) dan is de kans groot inderdaad dat de poort gevonden wordt. Maar zeg nou zelf, hoe vaak komt zo'n grote aanval voor?

    En met port knocking zou je nog een stap verder gaan.
    Met vriendelijke groet, Yourwebhoster.eu - Managed VPS diensten met Epyc performance op 100% SSDs

    Lees hier de webhostingtalk.nl forum regels en voorwaarden!

Pagina 1 van de 2 1 2 LaatsteLaatste

Webhostingtalk.nl

Contact

  • Rokin 113-115
  • 1012 KP, Amsterdam
  • Nederland
  • Contact
© Copyright 2001-2021 Webhostingtalk.nl.
Web Statistics