Kampf den Dictionary Attacks

Langsam gingen mir die dauernden Dictionary Attacks auf den neuen Webserver bei meiner Arbeit auf den Keks, vor allem flutet es einem die Mailbox, wenn man Tools wie LogSentry laufen hat. Eigentlich verhalten diese Scanner sich ja schon sowas von auffällig, daß man jede auffällige IP sofort in eine Blacklist entsorgen könnte. Da auf dem Server keine Firewall aktiviert ist (braucht ein sauber konfiguriertes System ja auch nicht), mußte ich mir überlegen, wie man die Hosts am besten blockiert. Da bietet sich natürlich /etc/hosts.deny prima für an. Also hab ich mir – Gentoo sei Dank – alles gleich mal mit tcpd-Support neu compiliert. Ein bißchen Google beantwortete meine Frage schnell, wie ich die IPs von den Logfiles in die hosts.deny bekomme: DenyHosts.

Das Programm startet man am besten als Daemon. So überwacht es jetzt alle paar Sekunden die Logfiles auf schwachsinnige SSH-Loginversuche und sperrt die IP einfach aus. Praktischerweise kann es noch mit einem zentralen Server syncen, so daß ich auch IPs reinbekomme, die noch gar nicht versucht haben, bei mir zu connecten. Das Ding ist einfach wunderbar: Über 1000 Login-Versuche pro Tag sind auf gerade mal einen pro drei Tage zurück gegangen. Sogar reine Scans nach offenen SSH-Ports haben deutlich nachgelassen – eigentlich kommen sogar nur noch solche – Loginversuche gar keine mehr. Dafür gibt es ein „thumbs-up“. Endlich wieder Ruhe in der Mailbox.

Veröffentlicht in Gentoo, Linux, Security. 6 Comments »

6 Antworten to “Kampf den Dictionary Attacks”

  1. tompson Says:

    Sehr interessante Sache, nervt mich auch schon seit einer Weil. Werd ich mir bei nächster Gelegenheit auch mal aufsetzen. Danke!

  2. hurikhan77 Says:

    Tompson, vielen Dank für die Verlinkung und den Artikel in deinem Blog. Allerdings denk dran, eine IP (z.B. die Firmenfirewall) in die Whitelist einzutragen. Ist ärgerlich, extra ins RZ latschen zu müssen.😉

  3. tompson Says:

    Nachdem es jetzt schon ganz gut läuft ist mir der Gedanke auch schon gekommen. Könnt ja theoretisch passieren dass man sich ein paarmal vertippt🙂 Danke auf jeden Fall für den Hinweis!

  4. tOMPSON's blog Says:

    Minimize dictionary attacks

    For everybody who does not know it: it is possible to show all wordpress blog entries assigned to a specific tag by using the following URL schema: http://wordpress.com/tag/TAGNAME
    I did this today for http://wordpress.com/tag/vdr/ and found out that t…

  5. Gappy Says:

    Mit dem Gedanken habe ich früher auch mal gespielt.
    Allerdings ist das ziemlich gefährlich, da mit gespooften Adressen schnell der ganze Server lahm gelegt werden kann. Dann können auch echte Kunden nicht mehr auf den Server.
    Ich würde ich eine IP nie länger als eine Stunde sperren.
    Sie sollte dann autom. wieder aktiviert werden. So kann man Attacken erfolgreich verhindern und verärgert keine normalen User.

  6. hurikhan77 Says:

    Mit einer gespooften Adresse kann kein vollständiger TCP-Connect initialisiert werden, so daß es gar nicht zu Log-Einträgen kommt, die von DenyHosts erkannt werden. Jedenfalls sehe ich das so, ohne es genauer geprüft zu haben. Das war jedenfalls bisher mein Verständnis von TCP/IP. Da steht dann höchstens im SSH-Protokoll, daß ein Host verbunden hat, ohne den Gruß zu schicken oder so… Und selbst wenn: Ja, die IPs verschwinden nach einiger Zeit wieder aus der Sperre…


Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: