ssh brute force hyökkäys Kiinasta

[VOJ]

Hei

Mediaserverini on joutunut Kiinasta peräisin olevan ssh brute force hyökkäyksen kohteeksi ja sitä pommitetaan jatkuvasti eri portteihin kohdistuvilla ssh kirjautumisyrityksillä root ja admin tunnuksella. Root kirjautuminen on estetty ja ja admin nimistä käyttäjää ei ole joten turhaan koputtelevat. Tarvitsen kuitenkin ssh yhteyttä koneelle joten en voi sammuttaa sitä kokonaan pois käytöstä.

Haluaisin kuitenkin torpata nämä yritykset siten että jos ssh yhteyttä yritetään ottaa muuhun kuin sille asetettuun porttiin niin ip-osoite josta sitä yritettiin estettäisiin esim. 24 tunniksi. HIllitsisi niitä yrityksiä varsin tehokkaasti. En vain ole löytänyt keinoa miten tällainen esto määriteltäisiin joten kaikki vinkit otetaan kiitollisena vastaan.

[Ville Pöntinen]

Itse käytin aikoinaan tätä http://linux.fi/wiki/Fail2ban

[raimo]

fail2ban

Koodia: [Valitse]

sudo apt-get install fail2banEstää IP:n  epäonnistuneiden kirjautumisten jälkeen halutuksi ajaksi.
Asetuksissa valitaan mm. miten monta kertaa virheellinen kirjautuminen hyväksytään,
erittäin monipuolinen ohjelma.
https://help.ubuntu.com/community/Fail2ban

Arvon Ville Pöntinen ehti ensin, mutta lähetän kun kerran kirjoitin!!!

[VOJ]

Kiitos vastauksista. Kokeillaan. Tsekkasin niin viimeisen kahden vuorokauden aikana kirjautumisyrityksiä on oillut yli 5000. Melkoista pommitusta.

[ajaaskel]

Ongelmaa voi aika hyvin kiertää käyttämällä avaimia ja poistamalla salasanakirjautumisen kokonaan ssh-yhteyksiltä.  Kukaan ei voi arpoa salasanaa kun sitä ei edes kysytä.

[VOJ]

Fail2ban tehosi. Jouduin kyllä muuttamaan bantimen 600 --> 3600. Yrittivät pirulaiset 600 jälkeen vielä uudestaan samasta osoitteesta. Kun nostin bantimen 3600 niin uudelleen yritykset loppuivat. Nyt vaan mukaan on tullut myös osoitteita Ukrainasta.

Vieläkin kyllä haluaisin että osoitteen voisi torpata heti jos se yrittää ssh yhteyttä väärään porttiin. En vaan ole vielä löytänyt fail2ban:ista kuinka sen saisi aikaiseksi.

[VOJ]

Tiukensin pääsyä lisäämällä /etc/hosts.deny tiedostoon kolme hyökäävintä osoiteavaruutta ja pelkästään se poisti n. 90 % hyökkäysyrityksistä. Samoin turva paranee kun niistä osoitteista ei pääse yrittämään edes sitä kolmea kertaa kirjautua jonka fail2ban suvaitsee ennen torppaamista.

Koodia: [Valitse]

# /etc/hosts.deny: list of hosts that are _not_ allowed to access the system.
#                  See the manual pages hosts_access(5) and hosts_options(5).
#
# Example:    ALL: some.host.name, .some.domain
#             ALL EXCEPT in.fingerd: other.host.name, .other.domain
#
# If you're going to protect the portmapper use the name "rpcbind" for the
# daemon name. See rpcbind(8) and rpc.mountd(8) for further information.
#
# The PARANOID wildcard matches any host whose name does not match its
# address.
#
# You may wish to enable this to ensure any programs that don't
# validate looked up hostnames still leave understandable logs. In past
# versions of Debian this has been the default.
# ALL: PARANOID

# osoitteet joista tulee jatkuvasti ssh brute force hyökkäyksiä
ALL:    61.167.49., 61.174.51., 116.10.191.


[Mistofelees]

Ihan ensimmäiseksi kannattaa pistää ping pois päältä.
Itsellä ulkoverkon kuorma putosi ratkaisevasti, kun kielsin muureja päästämästä läpi pingejä.
Nyt muuri päästää läpi ainoastaan SSH:n
Jos joudun ottamaan ulkoa http-yhteyden kotiserveriin, käytän putkitusta.