Archief
- De topics van lang geleden
Reacties (16)
28-09-2007, 09:12 door
SirDice
Even met whois op het IP achterhalen welke provider. En vervolgens deze een abuse email sturen. Meer kun je niet doen.
Overigens is het waarschijnlijk een worm of een gehackte bak. Ik krijg ze dagelijks.. Sshguard en soortgelijke programma's helpen.
Overigens is het waarschijnlijk een worm of een gehackte bak. Ik krijg ze dagelijks.. Sshguard en soortgelijke programma's helpen.
Iedere dag heb ik te maken met dit soort aanvallen. Zorg ervoor dat
alleen de noodzakelijke accounts SSH toegang hebben en de overige
accounts standaard al SSH toegang wordt geweigerd. Het zou echt
een dagtaak worden om alle pogingen om in te loggen aan te geven bij
de desbetreffende ISP.
alleen de noodzakelijke accounts SSH toegang hebben en de overige
accounts standaard al SSH toegang wordt geweigerd. Het zou echt
een dagtaak worden om alle pogingen om in te loggen aan te geven bij
de desbetreffende ISP.
28-09-2007, 12:33 door
SirDice
Om een idee te geven, dit is op m'n thuis machine van gister
en vandaag:
Sep 27 00:00:00 maelcum sshguard[1069]: Got exit signal, flushing blocked addresses and exiting...
Sep 27 00:00:00 maelcum sshguard[1558]: Started successfully [(a,p,s)=(4, 420, 1200)], now ready to scan.
Sep 27 02:16:03 maelcum sshd[1939]: Did not receive identification string from 222.221.12.11
Sep 27 02:31:05 maelcum sshd[1974]: Invalid user staff from 222.221.12.11
Sep 27 02:31:11 maelcum sshd[1979]: Invalid user sales from 222.221.12.11
Sep 27 02:31:16 maelcum sshd[1981]: Invalid user recruit from 222.221.12.11
Sep 27 02:31:21 maelcum sshd[1983]: Invalid user alias from 222.221.12.11
Sep 27 02:31:21 maelcum sshguard[1558]: Blocking 222.221.12.11: 4 failures over 16 seconds.
Sep 27 02:38:52 maelcum sshguard[1558]: Releasing 222.221.12.11 after 451 seconds.
Sep 27 06:40:52 maelcum sshd[3002]: Did not receive identification string from 222.90.65.251
Sep 27 06:46:11 maelcum sshd[3026]: Invalid user fluffy from 222.90.65.251
Sep 27 06:46:16 maelcum sshd[3028]: Invalid user admin from 222.90.65.251
Sep 27 06:46:22 maelcum sshd[3030]: Invalid user test from 222.90.65.251
Sep 27 06:46:27 maelcum sshd[3032]: Invalid user guest from 222.90.65.251
Sep 27 06:46:27 maelcum sshguard[1558]: Blocking 222.90.65.251: 4 failures over 16 seconds.
Sep 27 06:54:56 maelcum sshguard[1558]: Releasing 222.90.65.251 after 509 seconds.
Sep 27 19:52:14 maelcum sshd[5664]: Did not receive identification string from 200.26.155.250
Sep 27 22:28:13 maelcum sshd[6090]: Invalid user test from 200.26.155.250
Sep 28 00:00:01 maelcum sshguard[1558]: Got exit signal, flushing blocked addresses and exiting...
Sep 28 00:00:01 maelcum sshguard[6343]: Started successfully [(a,p,s)=(4, 420, 1200)], now ready to scan.
Sep 28 07:00:01 maelcum sshguard[6343]: Got exit signal, flushing blocked addresses and exiting...
Sep 28 07:00:01 maelcum sshguard[7808]: Started successfully [(a,p,s)=(4, 420, 1200)], now ready to scan.
Zonder sshguard had ik waarschijnlijk ook een paar duizend brute-force pogingen gehad. Nu worden ze even tijdelijk geblokkeerd in de firewall na een paar mislukte inlog pogingen. Uiteraard controleer ik alsnog regelmatig de logs want sommige volhouders gaan gewoon verder als de blokkade is opgeheven. Die blokkeer ik, handmatig, permanent op de firewall.
en vandaag:
Sep 27 00:00:00 maelcum sshguard[1069]: Got exit signal, flushing blocked addresses and exiting...
Sep 27 00:00:00 maelcum sshguard[1558]: Started successfully [(a,p,s)=(4, 420, 1200)], now ready to scan.
Sep 27 02:16:03 maelcum sshd[1939]: Did not receive identification string from 222.221.12.11
Sep 27 02:31:05 maelcum sshd[1974]: Invalid user staff from 222.221.12.11
Sep 27 02:31:11 maelcum sshd[1979]: Invalid user sales from 222.221.12.11
Sep 27 02:31:16 maelcum sshd[1981]: Invalid user recruit from 222.221.12.11
Sep 27 02:31:21 maelcum sshd[1983]: Invalid user alias from 222.221.12.11
Sep 27 02:31:21 maelcum sshguard[1558]: Blocking 222.221.12.11: 4 failures over 16 seconds.
Sep 27 02:38:52 maelcum sshguard[1558]: Releasing 222.221.12.11 after 451 seconds.
Sep 27 06:40:52 maelcum sshd[3002]: Did not receive identification string from 222.90.65.251
Sep 27 06:46:11 maelcum sshd[3026]: Invalid user fluffy from 222.90.65.251
Sep 27 06:46:16 maelcum sshd[3028]: Invalid user admin from 222.90.65.251
Sep 27 06:46:22 maelcum sshd[3030]: Invalid user test from 222.90.65.251
Sep 27 06:46:27 maelcum sshd[3032]: Invalid user guest from 222.90.65.251
Sep 27 06:46:27 maelcum sshguard[1558]: Blocking 222.90.65.251: 4 failures over 16 seconds.
Sep 27 06:54:56 maelcum sshguard[1558]: Releasing 222.90.65.251 after 509 seconds.
Sep 27 19:52:14 maelcum sshd[5664]: Did not receive identification string from 200.26.155.250
Sep 27 22:28:13 maelcum sshd[6090]: Invalid user test from 200.26.155.250
Sep 28 00:00:01 maelcum sshguard[1558]: Got exit signal, flushing blocked addresses and exiting...
Sep 28 00:00:01 maelcum sshguard[6343]: Started successfully [(a,p,s)=(4, 420, 1200)], now ready to scan.
Sep 28 07:00:01 maelcum sshguard[6343]: Got exit signal, flushing blocked addresses and exiting...
Sep 28 07:00:01 maelcum sshguard[7808]: Started successfully [(a,p,s)=(4, 420, 1200)], now ready to scan.
Zonder sshguard had ik waarschijnlijk ook een paar duizend brute-force pogingen gehad. Nu worden ze even tijdelijk geblokkeerd in de firewall na een paar mislukte inlog pogingen. Uiteraard controleer ik alsnog regelmatig de logs want sommige volhouders gaan gewoon verder als de blokkade is opgeheven. Die blokkeer ik, handmatig, permanent op de firewall.
Sep 27 06:46:27 maelcum sshguard[1558]: Blocking
222.90.65.251: 4 failures over 16 seconds.
222.90.65.251: 4 failures over 16 seconds.
de vooroordelen over chineze hackers nog maar even bevestigen :)
01-10-2007, 11:59 door
jeed
Bedankt voor de reacties.
Ik heb ssh zo geconfigureerd dat je alleen met een key
binnen kunt komen. Om de logfile mogelijk kleiner te krijgen
ga ik ook een andere poort dan 22 gebruiken (maar dit is
natuurlijk geen beveiliging).
SSHguard ga ik ook bekijken.
Ik heb ssh zo geconfigureerd dat je alleen met een key
binnen kunt komen. Om de logfile mogelijk kleiner te krijgen
ga ik ook een andere poort dan 22 gebruiken (maar dit is
natuurlijk geen beveiliging).
SSHguard ga ik ook bekijken.
Nu worden ze even tijdelijk geblokkeerd in de
firewall na een paar mislukte inlog pogingen. Uiteraard
controleer ik alsnog regelmatig de logs want sommige
volhouders gaan gewoon verder als de blokkade is opgeheven.
Die blokkeer ik, handmatig, permanent op de firewall.
firewall na een paar mislukte inlog pogingen. Uiteraard
controleer ik alsnog regelmatig de logs want sommige
volhouders gaan gewoon verder als de blokkade is opgeheven.
Die blokkeer ik, handmatig, permanent op de firewall.
Bij mij gaat het net andersom, zo komen gewoon op de
deny-list voor onbepaalde tijd en zonodig kan ik ze
de-blokkeren.
04-10-2007, 08:25 door
SirDice
Door Anoniem
Bij mij gaat net net andersom, zo komen gewoon op de deny-list voor onbepaalde tijd en zonodig kan ik ze de-blokkeren.
Gebeurd dat automatisch? Zo ja, welk programma gebruik je hiervoor? Nu worden ze even tijdelijk geblokkeerd in de firewall na een paar mislukte inlog pogingen. Uiteraard controleer ik alsnog regelmatig de logs want sommige volhouders gaan gewoon verder als de blokkade is opgeheven. Die blokkeer ik, handmatig, permanent op de firewall.
Bij mij gaat net net andersom, zo komen gewoon op de deny-list voor onbepaalde tijd en zonodig kan ik ze de-blokkeren.
Het voordeel van sshguard is namelijk dat het automatisch gebeurd. Een ander voordeel is dat als er iemand probeert in te loggen die zijn/haar wachtwoord is vergeten hij/zij na een paar minuten blokkade er weer bij kan. Bovendien zijn dergelijke brute-force acties meestal "one-offs". Bij permanente blokkade zou je firewall na een tijdje een enorme ACL krijgen wat de firewall nodeloos trager maakt.
denyhosts is ook een veelgebruikte manier hiervoor. als je
linux draait kun je ook een algemene iptables rule gebruiken
die bij zeer veel connects in korte tijd het hele adres
blockt (en daarmee niet alleen ssh beveiligt maar ook andere
protocollen), maar die zou ik even op moeten zoeken
linux draait kun je ook een algemene iptables rule gebruiken
die bij zeer veel connects in korte tijd het hele adres
blockt (en daarmee niet alleen ssh beveiligt maar ook andere
protocollen), maar die zou ik even op moeten zoeken
04-10-2007, 10:23 door
SirDice
Interessant alleen heb ik geen iptables maar pf ;)
Door SirDice
Interessant alleen heb ik geen iptables maar pf ;)
Interessant alleen heb ik geen iptables maar pf ;)
Good old *BSD he?
draai denyhosts .
niet leuk trouwens meteen die foute rotwet uit duitsland aan
te grijpen.
ik snap u best maar zal het zelf uit principe en
solidariteit met de duitse collega's niet snel gebruiken.
-- have you deleted your nmap already?
niet leuk trouwens meteen die foute rotwet uit duitsland aan
te grijpen.
ik snap u best maar zal het zelf uit principe en
solidariteit met de duitse collega's niet snel gebruiken.
-- have you deleted your nmap already?
Door jeed
Hoi,
Een Duitse grappenmaker heeft geprobeerd mij via SSH te
hacken. Het is niet gelukt, maar hij heeft wel ruim 2000
pogingen gedaan.
Heeft iemand tips hoe ik die vogel aan kan geven?
Jaap
Hoi,
Een Duitse grappenmaker heeft geprobeerd mij via SSH te
hacken. Het is niet gelukt, maar hij heeft wel ruim 2000
pogingen gedaan.
Heeft iemand tips hoe ik die vogel aan kan geven?
Jaap
"Even met whois op het IP achterhalen welke provider. En vervolgens
deze een abuse email sturen. Meer kun je niet doen."
Da's onzin. Immers kun je wel aangifte doen bij de politie, en bij het
mailen naar een abuse adres wordt er geen juridische aktie namens
jou ondernomen. De ergste sanctie die er in dat geval door een
provider genomen wordt is het afsluiten van de gebruiker wegens het
schenden van de algemene voorwaarden (gebeurt niet snel).
Overigens is het wel de vraag of de politie er daadwerkelijk ook maar
iets mee doet indien de hacker het niet is gelukt om op je systeem
binnen te dringen en je geen aantoonbare schade hebt geleden door
de hack aanval.
deze een abuse email sturen. Meer kun je niet doen."
Da's onzin. Immers kun je wel aangifte doen bij de politie, en bij het
mailen naar een abuse adres wordt er geen juridische aktie namens
jou ondernomen. De ergste sanctie die er in dat geval door een
provider genomen wordt is het afsluiten van de gebruiker wegens het
schenden van de algemene voorwaarden (gebeurt niet snel).
Overigens is het wel de vraag of de politie er daadwerkelijk ook maar
iets mee doet indien de hacker het niet is gelukt om op je systeem
binnen te dringen en je geen aantoonbare schade hebt geleden door
de hack aanval.
20-11-2007, 17:03 door
SirDice
Dit soort "ruis" wordt in 99.999% van de gevallen
veroorzaakt door een worm. Succes bij het aangeven van elke
worm of virus die probeert je systeem binnen te komen. Denk
je nu echt dat je serieus genomen wordt?
Nee hoor, gewoon de abuse mailen, da's vele malen
effectiever. Ik heb namelijk andere ervaringen met het
afsluiten van gebruikers, dat gaat in de meeste gevallen
vrij snel (mits de abuse email correct is).
veroorzaakt door een worm. Succes bij het aangeven van elke
worm of virus die probeert je systeem binnen te komen. Denk
je nu echt dat je serieus genomen wordt?
Nee hoor, gewoon de abuse mailen, da's vele malen
effectiever. Ik heb namelijk andere ervaringen met het
afsluiten van gebruikers, dat gaat in de meeste gevallen
vrij snel (mits de abuse email correct is).
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
