Nieuws
image

Toename SSH brute-force aanvallen

dinsdag 19 januari 2010, 10:25 door Redactie, 10 reacties

Het Internet Storm Center waarschuwt voor een toename van brute-force aanvallen via SSH. De stijging van source IP-adressen die naar SSHD daemons zoeken werd door verschillende lezers gemeld en is ook in de DShield database zichtbaar. De aanvallers gebruiken verschillende gebruikersnamen, waaronder admin, root, backup en user.

Naast het wijzigen van het standaard SSH poortnummer en implementeren van een Access Control List (ACL), is ook het gebruik van een SSH bruteforce IP blacklist een optie. SSHBL.org verzamelt IP-adressen die SSH brute-force aanvallen uitvoeren. Beheerders kunnen deze lijst, die elke 15 minuten wordt bijgewerkt, aan hun ACL toevoegen.

Reacties (10)
19-01-2010, 10:37 door SirDice
sshguard-pf FTW!
19-01-2010, 11:32 door Preddie
Door SirDice: sshguard-pf FTW!

wat is daar mee? ik heb er nooit van gehoord, misschien kun je wat nadere uitleg geven ;)

Btw die lijst van SSHbl is korter als mijn eigen lijstje :/
19-01-2010, 11:42 door SirDice
Door Predjuh:
Door SirDice: sshguard-pf FTW!

wat is daar mee? ik heb er nooit van gehoord, misschien kun je wat nadere uitleg geven ;)
http://www.lmgtfy.com/?q=sshguard
19-01-2010, 12:56 door Anoniem
Wie als beheerder password authenticatie toestaat via het Internet verdient inwendige stokslagen. Voor een serieuze ICT organisatie betekent dit niets.
19-01-2010, 13:45 door Anoniem
ik stem voor fail2ban meer info hier: http://www.fail2ban.org/wiki/index.php/Main_Page
19-01-2010, 22:13 door Anoniem
@SirDice http://www.hexten.net/wiki/index.php/Pam_abl is toch wel wat intressanter. Beschermd niet alleen ssh logins
20-01-2010, 11:45 door Anoniem
# special rule for ssh
pass in on $ext_if proto tcp from any to ($ext_if) port ssh flags S/SA keep state (max-src-conn-rate 3/30, overload <ssh-bruteforce> flush global)

# block the ssh bruteforce bastards
block drop in quick on $ext_if from <ssh-bruteforce>

en in je cron:

*/5 * * * * /usr/local/sbin/expiretable -t 3600 ssh-bruteforce

http://johan.fredin.info/openbsd/block_ssh_bruteforce.html

Grtz, Rex
20-01-2010, 15:39 door Anoniem
Hier heb je een degelijk tool voor op linux niveau en deze heet Denyhosts.
Deze kan de bruteforce aanval op volume beoordelen en autom. in de blacklist zetten.
20-01-2010, 17:13 door Anoniem
Zoals je uit het artikel kunt opmaken is de kracht van dergelijke aanvallen vooral dat het zich richt op zwakke usernames&passwords.

Dan kan je wel heel interessant doen door allerlei config files aan te passen en scriptjes te schrijven maar het meest effectieve bestrijdingsmiddel blijft toch een sterke username&password.
20-01-2010, 18:53 door Anoniem
Of een sterke username/password combinatie met port-knocking, zie
http://en.wikipedia.org/wiki/Port_knocking
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search