[Wien] Hilfe - Attacke?

Mike B. Kerber (spam-protected)
Fr Jul 17 22:51:05 CEST 2009 

> dann sag ich mal herzlichen Dank für die schnellen antworten.
> traurig, dass das zum alltag gehört. wie fad muss es leuten sein... aber
> das würde das thema sprengen wenn wir über sowas diskutieren.
Tja es ist schon schlimm, das sind meist eh automatisierte brute force
versuche reinzukommen... ich hab den letzen angriff dieser art
analysiert und bin von zumind 2 windooze maschinen aus rumänien und aus
thailand sowie einem linux aus brasilien angegriffen. Ich habe mail an
die abuse adressen des jeweiligen service provider geschickt aber nie
antwort erhalten. Einen rechner betreiber habe ich rausgefunden und den
auch informiert, das hat zumindest bei der Maschine was gebracht (one
down x-tausend to got :D )
> 
> werde mir das tool ansehen!
> 
> werde den port 22 auf einen anderen ändern. (wäre das nicht auch auf den
> funkfeuer-routern interessant?)
Nachdem mir das füllen der logfiles durch böse rechner zuwider war habe
ich die world-open services auf einen IANA unused port umgestellt ...
siehe
http://www.iana.org/assignments/port-numbers

dort ist es viel friedlicher (im moment noch). Wenn du sowas wie ssh nur
für dich verwendest, auf jeden fall den root in der sshd conf den zugang
verwehren, ssh zugang uu nur für einen unprivilegierten user gestatten
und etc. sicheres passwd und ssh-keys wie aaron sagte sind sowieso ein
muss. wenn du mehrere rechner hast, lass nur einen ssh offen und
verwende den als gateway. Alle anderen services (insbesondere der X)
sollten via firewall dicht sein nach aussen und dann ssh-port forwarding
verwenden. Siehe zb
http://www.debianadmin.com/howto-use-ssh-local-and-remote-port-forwarding.html

Im debian repo findest du auch tools wie "harden" oder "bastille" sowie
tools for firewalling (zb fwbuilder, shorewall) incl guis (if you need
them). "logcheck" ist uu auch von interesse für dich.

Nur zur info, im windows bekommt man es kaum mit: Nach der einwahl ins
internet dauert es max 1-2 min bis jemand beginnt deine ports
abzuklopfen. Das ist alles kein spass ;) Besser du weisst bescheid und
unternimmst was. Im fall des falles wechsel zu BSD ;)

Take care
-mike

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 260 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.funkfeuer.at/pipermail/wien/attachments/20090717/9fd24a0b/attachment.sig>

Mehr Informationen über die Mailingliste Wien