http://www.dshield.org/diary.html?storyid=9031
Staan wat tips in.

Ikzelf gebruik al jaren, met volle tevredenheid, sshguard.

http://www.sshguard.net/

sshguard is niet voor Windows, dit is meer Linux gericht en andere OS systemen.

Jep, same here, en in combinatie met de ssh blacklist (sshbl.org) is het redelijk te doen.

Lezen is ook een kunst..
"Ik gebruik gentoo linux op mijn box en update bijna elke dag."

je kan toch deny host doen?,hoe dat werkt weet ik niet precies,maar je kan er mee dus instellen dat er alleen mensen op je netwerk kunnen die je toestemming hebt gegeven.
Alle andere vreemde eenden in de bijt worden dus meteen geweerd omdat de ip adressen van mensen die je geen toestemming hebt gegeven om op je netwerk te komen meteen als blacklist worden gezien.

Sshd op een andere poort dan 22 laten draaien. Uiteraard is dit Security through obscurity en dus geen oplossing, maar het scheelt een slok op een borrel qua attempts.

Wat er mist aan je post is eigenlijk welke service er aangevallen wordt.
Is het ssh, dan kun je dat firewallen en enkel vanaf bepaalde ip's toestaan. Ikzelf connect namelijk altijd eerst een sessie naar mijn huis en ga van daaruit naar mijn rackje.
Ook kun je de poort veranderen, grote kans dat ze dan een ander slachtoffer gaan zoeken omdat je standaard poort nu eenmaal sneller gescand wordt dan de poorten boven 1024.
Maak je machine dus om te beginnen een wat onaantrekkelijker doelwit, dan gaan ze al snel verder met een ander.

Is het een bruteforce op een andere service die voor publiek toegankelijk moet zijn, dan is het wat moelijker.
Maar geef eerst eens aan over welke service het gaat.

Dat botnet zichzelf uit laten schakelen kan alleen wanneer je de command en control server kunt vinden. Scan eens een bot en kijk of je aan wat meer info kunt komen. Grote kans dat je niets ziet. Zo'n bot maakt connectie met een C&C server en krijgt daar een taak van. Die taak wordt vervolgens uitgevoerd, waardoor de bot connectie maakt met jouw machine.
Niet zo makkelijk om daar tussen te komen dus.

Daarnaast, wanneer je wachtwoorden sterk zijn, kunnen ze bruteforcen wat ze willen maar gaat het zelfs met een groot botnet niet lukken.

SSH, ja.

Een vriend van mij heeft de wachtwoord auth uitgezet op ssh en het zo gezet dat het alleen nog maar sleutels toestaat.

Ik gebruik ook deny hosts, maar die pakt die addressen niet op. sshguard deed dat wel, maar mijn vriend zegt dat ik sshguard niet nodig heb als ik met sleutels werk in plaat van wachtwoord auth op ssh.

Over die botnet opzet wist ik niets. Moet die server dan niet bijhouden waar die bots zich bevinden? of in andere woorden, zenden die bots niet pings naar het netwerk van "hey, joh, pass mij nog eens iets te doen?" of zoiets?

In die zin kan je toch een botnet reverse engineeren, of niet?

Artikel wel gelezen ?

De poster gebruik gentoo linux en kan dus heel goed ssguard gebruiken.

Artikel ook niet gelezen zeker?
Anders had je geweten dat de poster al denyhost gebruikt ....

Die bots halen taken op van een c&c server, de domeinen zijn aanwezig in de malware en kunnen ook door updates gewijzigd of uitgebreid worden. Ze sturen dus inderdaad requests om iets te doen, maar niet naar jou.
De manier om zoiets uit te pluizen is een eigen machine lid laten worden van het botnet, zodat je achter de c&c servers kunt komen of in jouw geval heb je met linux nog grote kans dat je machine door ze als c&c ingezet wordt wanneer ze hem gehacked krijgen.

Wil je het gevecht aangaan, dan kun je een honeypot opzetten. Die machine laat je dan vol securitylekken draaien met wachtwoorden die vooraan komen in een dictionary attack. Wanneer gehacked, volg je wat ze doen en zodra het ding bots bestuurt, kun je (dat deel van) het botnet kapen.
Vaak is het een standaard malware, waar je dus voldoende documentatie mbt gebruik kunt vinden.
Op die manier kun je ze een hak zetten. Let alleen wel op dat ruzie maken met dergelijk figuren kan uitdraaien op langdurig gedoe. Dat kun je dan maar beter leuk vinden anders raad ik je af ermee te beginnen.

SSH alleen keys laten accepteren is inderdaad al een aardige oplossing, maar waarom geen ander poortje? Wat ik hieruit opmaak is dat je het vrijwel alleen voor jezelf gebruikt. Dus dan is -p(poort) achter je ssh command typen toch geen probleem? Dan heb je stukken minder last van dit soort botnets, die scannen je poort 22, krijgen 0 op het rekest en gaan door met een ander.

Zelf heb ik een paar jaar terug wat ervaring opgedaan wat dit betreft door een oostblokker die via een lek in een site van een klant achter gebruikersinfo kwam en daarna via een kernel exploit root rechten verkreeg.
Ik smoorde het in de kiem en hield er een hele leuke toolbox aan over waarmee ik mijn daarna vernieuwde setup kon testen, waaronder diverse exploits, een rootkit, stealth ftp, kernelmodules waarmee je om een firewall heen kon werken, php consoles met leuke grappen erin, etc.
In principe is een systeem beschermen tegen dreiging van buitenaf niet zo heel moeilijk, het beschermen tegen zwakheden van binnenuit veroorzaakt door je eigen klanten, dat is pas een uitdaging.

Veel dank. Ik geef je tips door aan mijn vriend. Die is wat beter met dit soort dingen dan ik.
Ik ben nog steeds aan het leren hoe gentoo te updaten zonder mijn systeem settings te verzieken. =D

Maar het is een beetje zoals een spelletje schaak, maar dan in realtime? Hun hebben een zet gedaan door mij aan te vallen en nu moet ik pareren. Logisch dat ze daarna weer een zet proberen. Ik moet gewoon leren hoe mijn verdediging zo neer te zetten dat hun koning schaakmat word gezet zodra zij hun aanval openen.

Enige sites die mensen helpen om dit te leren zouden niet misstaan op het internet. Ik heb ze nog niet gevonden. Of geen die het uitleggen zodat leken het ook begrijpen. Ben niet zo bekend met al dat jargon.

Het is niet echt als een schaakspel, je kunt gewoon het beste zorgen dat je geen interessant makkelijk doelwit bent.
Dan wil er niemand met je schaken.

Daarnaast is Gentoo aardig goed tegenwoordig, als je world up to date houd met auvDN als opties, erna dispatch-conf doet, eventueel python-updater en daarna een depclean gevolgd door een revdep-rebuild, gaat er niet al te vaak iets fout.

Het enige probleem dat ik afgelopen jaar heb gehad dat ik me goed kan herinneren was een udev update ergens afgelopen winter, verder heeft het hier prima gedraaid afgelopen tijd.

wat dacht je van je SSH op een andere poort te laten draaien.

Dit botnet heeft al op verscheidene poorten geprobeerd SSH requests te doen. De gebruikte poorten zijn van 22 tot 5000.
Dus ik kan SSH makkelijk op een andere poort laten draaien, maar dat maakt niets uit.

Nouja, er zijn nogal wat poorten over dan na de 5000. Bijvoorbeeld 55555, makkelijk te onthouden omdat het 5x5 is.
En wat ik bedoelde met mijn reacties, wanneer je ssh op een andere poort laat draaien, ben je de volgende keer minder snel een doelwit.
Ze scannen een hele ip reeks op poort 22, de ip's die antwoord geven, gaan ze aanvallen.
Een machine op 65500 poorten na aftrek van poorten die het zeker niet zullen zijn scannen, is veels teveel werk en zal niet snel gebeuren.
Wat Spatieman dus ook nog een keer als tip aangeeft, is een prima oplossing om de kans op een volgende keer te verminderen.

Wil je nu van dit botnet af komen, firewall dan de boel eens incl je ssh voor een paar dagen. Ze zullen dan waarschijnlijk verder gaan met een ander.

Owja, je kunt ook een firewall rule aanmaken met een trigger poort, dan wordt iedereen die direct op poort 22 aanbelt gedropt, maar als je eerst op een andere poort aanklopt, mag je daarna naar poort 22 connecten. Ook een handige oplossing.

Opie of s/key zijn ook handige tools voor als je niet kunt volstaan met keys en je site toch brede bereikbaarheid moet hebben.