[Wien] Hilfe - Attacke?

[Bernd Petrovitsch]

On Fre, 2009-07-17 at 21:28 +0200, Felix Ehritz wrote:
[....]
> traurig, dass das zum alltag gehört. wie fad muss es leuten sein... aber
Läuft schon des längerem so.Deshalb ist es mbMn das *mindeste*,
(Gratis-)Updates der Distribution oder des Herstellers (Hallo, Win-*
Benützer!) zu installieren.

> das würde das thema sprengen wenn wir über sowas diskutieren.
Allerdings ist nicht Leuten einfach nur fad (die mag es auch geben),
sondern da suchen Tools automatisch nach Hosts, die man übernehmen kann
(mit bekannten Exploits. Am Error-Log von HTTP-Servern sieht man auch,
bei welcher Webapplikation  - oder Serversoftware? - es wohl Exploits
gab/gibt.).
Wenn man so einen gefunden und gecrackt hat, wird er für als
Spamschleuder oder Soldat für distributed Denial of Service Attacks u.ä.
eingesetzt. Natürlich versucht der "Übernehmer" tunlichst unerkannt zu
bleiben, d.h. er nichts kaputt machen oder löschen - sonst merkt einer
vielleicht was.
Und damit es gibt Leute, die vom Spammen u.ä. leben und das ist für
manche damit ein ganz normales Geschäft.

[...]
> werde den port 22 auf einen anderen ändern. (wäre das nicht auch auf den
> funkfeuer-routern interessant?)
Im Moment vermutlich. Aber irgendwann werden Portscanner eingesetzt
werden, um sowas zu finden.

Andere übliche Maßnahmen sind:
- "PermitRootLogin no" sollte sowieso drin sein.
- "AllowUsers" im /etc/ssh/sshd_config einsetzen (normalerweise sollten
   System-Accounts eh nicht einlogbar sein, aber es schadet nichts ....)
- "sshd: ALL" in /etc/hosts.deny rein und in /etc/hosts.allow die
  IP-Adressen/Netze erlauben, von denen man überhaupt einloggen darf.
- Es gibt Tools wie http://www.fail2ban.org/wiki/index.php/Main_Page.

	Bernd
-- 
Firmix Software GmbH                   http://www.firmix.at/
mobil: +43 664 4416156                 fax: +43 1 7890849-55
          Embedded Linux Development and Services