Nieuws

Toename brute-force aanvallen via SSH

maandag 20 april 2009, 11:57 door Redactie, 15 reacties

Het Internet Storm Center waarschuwt voor een toename van het aantal brute-force aanvallen via SSH en adviseert beheerders om inloggegevens van minimaal acht karakters te kiezen. "Als je een SSH-server open aan het internet hebt hangen, en je gebruikersnamen en wachtwoorden zijn minimaal geen acht karakters, dan is je server gehackt of zal dat binnenkort gebeuren", schrijft Daniel Wesemann. Volgens hem zijn er genoeg aanwijzingen dat iemand op deze manier een botnet opzet om zo geld te verdienen.

Security by obscurity
Sommige beheerders gaan creatief met de problematiek om. "Hoe we ons best ook doen, gebruikers blijven slechte wachtwoorden kiezen. Daarom besloten we ze moeilijk te raden gebruikersnamen te geven. Als een gebruikersnaam @455%userid is, dan maakt het niet meer uit hoe slecht zijn wachtwoord is." Wesemann merkt op dat het kiezen van complexe gebruikersnamen en het niet draaien van SSH op poort 22 onder de "security by obscurity" categorie valt. "Feit is dat ze beiden helpen om de stroom van brute-force aanvallen tegen te gaan. Kogelvrij zijn is fijn, maar als het niet mogelijk is, dan is een goede camouflage beter dan een dik doelwit te zijn."

Beheerders die inspiratie zoeken om SSH op de eigen server beter te beveiligen, worden naar deze pagina doorverwezen.

Anti-virusbedrijven beschouwen Windows als malware

Nep-virusscanner infiltreert Windows Security Center

Reacties (15)

20-04-2009, 12:07 door RichieB

Of je gebruikt denyhosts: http://denyhosts.sourceforge.net/

20-04-2009, 12:47 door Anoniem

of fail2ban: http://www.fail2ban.org/
Heb zelf denyhosts nooit geprobeerd!

20-04-2009, 13:02 door Anoniem

denyhosts is idd erg goed

20-04-2009, 13:12 door Anoniem

Maar dit soort aanvallen zag ik 5 jaar geleden al zeer regelmatig. Volgens mij is dit terug van nooit weg geweest.

20-04-2009, 13:18 door Anoniem

Ik gebruik Denyhosts al jaren en heb er goede ervaringen mee. Wel oppassen dat je zelf niet op de blacklist terecht komt door bijv. per ongeluk als een verkeerde user op een systeem aan te loggen! Denyhosts is bij de meeste Linux distributies wel in de softwarebilbliotheek te vinden.

20-04-2009, 14:02 door Anoniem

Het klopt dat dit soort aanvallen al jaren oud zijn, alleen neemt het risico op succesvolle inbraken uiteraard wel toe nu er botnets e.d. gebruikt worden. Die werken bijv. vanaf verschillende IP-adressen (dus alleen daarop filteren is beslist onvoldoende). Mijn suggesties naast goede wachtwoorden:
- Stel SSH remote login op basis van een whitelist in, dus je moet expliciet geautoriseerd zijn;
- Obscurity of niet: overweeg je SSH server op een andere poort te draaien dan 22;
- Controleer of er geen systeemaccounts openstaan voor remote login;
- Gebruik Denyhosts of iets vergelijkbaars en configureer niet te voorzichtig;
- Hiermee samenhangend: filter niet alleen IP-adressen, maar stel ook een vertraging in tussen inlogpogingen. En wordt er gepoogd om als root of als admin e.d. in te loggen: meteen blacklisten (ook al heb je deze accounts natuurlijk al dichtgezet voor remote login...).

20-04-2009, 14:09 door Anoniem

Toch naar een ander poort nummer laten luisteren, baat het niet dan schaad het niet

20-04-2009, 14:10 door wizzkizz

Door Anoniem: Ik gebruik Denyhosts al jaren en heb er goede ervaringen mee. Wel oppassen dat je zelf niet op de blacklist terecht komt door bijv. per ongeluk als een verkeerde user op een systeem aan te loggen! Denyhosts is bij de meeste Linux distributies wel in de softwarebilbliotheek te vinden.

20-04-2009, 14:33 door jali

Ik ben het volledig eens met de stelling dat het overwegen van een andere poort dan 22 toch wel de beste en snelste oplossing biedt.
Sinds ik de poort heb gewijzigd (ongeveer 2 jaar geleden) heb ik geen attacks meer gehad op SSH (en ja logs worden gemonitored)
Het enige nadeel is dat de personen welke wel mogen inloggen op de hoogte moeten zijn van het juiste poortnummer. En hier zit nu juist ook de kracht, als een werknemer/klant geen toegang meer mag hebben dan is de poort aanpassen een goede extra security.

20-04-2009, 14:43 door Anoniem

ssh bf-scan's via botnets:

- specifieke attack op username/login (harvested via mail/usenet/irc whatever);
- elk ip# komt maar 1x voor (dus default fail2ban werkt niet (nl 3 mislukte pogingen));

-- port knocking kan helpen;
-- ssh keys helpen.

20-04-2009, 14:48 door Anoniem

Ik gebruik zelf fail2ban, die iptables gebruikt, ipv denyhosts dat het hosts.deny file gebruikt. Ik heb liever dat aanvallers zo snel mogelijk in de firewall geblokkeerd worden, dan weet ik zeker dat ze geen toegang meer hebben tot het systeem.
Gelukkig heb ik mezelf nog nooit uitgesloten (omdat ik altijd met key's inlog ipv wachtwoorden), maar mocht dat wel gebeuren, mijn fail2ban let en blokkeert alleen maar op poort 22 voor ssh en mijn sshd luistert ook nog op een aantal andere poorten.[/quote]
Ik ken fail2ban niet, maar als ik het zo lees dan is Denyhosts een goede optie voor mensen die bijv. NAT hebben draaien op hun ADSL-modem. Fail2ban lijkt me weer wat geschikter voor omgevingen met een meer "open verbinding" naar internet.

20-04-2009, 15:49 door Anoniem

zelf op servers die aan het net hangen zet ik de port om, heb de logs wel bekeken.. van meerdere pogingen per dag (@ poort 22) tot bijna geen enkele poging meer op een andere poort! dat alleen al werkt erg goed, verder met deniehost en je bent toch redelijk afgeschermt, 3 strikes and your out.

oh en preventief filteren helpt ook wel, blacklists van china en dat soort landen er al standaard inzetten gezien je daar toch meestal geen login van verwacht..

21-04-2009, 10:57 door Anoniem

fail2ban werkt prima - ikzelf gebruik het al een tijdje. Probleem met de huidige opzet van SSH bruteforce is dat het een gedistribueerde aanval is: een host probeert maar 1 of 2 keer in te loggen, waarna een andere host het overneemt. Daar kan fail2ban niets mee: omdat zowel het aantal foute pogingen onder de threshold blijft, als dat de volgende poging van een andere host komt...

21-04-2009, 19:07 door Anoniem

Ik gebruik zelf een portknock methode om ssh te beschermen. Werkt erg goed (zie aardig wat drops op de ssh poort zonder vooraf gaande knock), enige nadeel is dat je zeker moet zijn dat de poort waarop je de knock inricht ook open staat vanaf de verbinding waar je vandaan wil komen. Zeker als dat een onbekende locatie is wil dat wel eens voor een probleem zorgen.

Verder uiteraard alleen key-based logins vanaf internet waarbij alleen normale users toegelaten worden.

21-04-2009, 23:18 door Anoniem

Even plotseling dat het begon is het alweer allemaal gestopt met de bruteforce ssh attacks..

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer