Steigende Anzahl an Login-Versuchen bei SSH

    Seit ein paar Tagen nimmt Brute-Force am SSH-Port kräftig zu. Liegt das Grundrauschen sonst so bei 200 bis 300 Versuchen, so bin ich zur Zeit eher bei 5 bis 7000 am Tag. Den Standardport habe ich natürlich verlegt.

    Code
    Status for the jail: sshd
|- Filter
|  |- Currently failed:	4
|  |- Total failed:	3375
|  `- Journal matches:	_SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned:	3
   |- Total banned:	10
   `- Banned IP list:	121.153.134.68 78.189.233.181 42.200.95.105

    Wer hat einen Server und kann Ähnliches berichten? Oder bin ich mit meinem bedeutungslosen Server irgendwie in den Fokus geraten? :/

    Ich würde den SSH Port ändern, ich vermute er wurde bei dir gefunden und dann weiter verbreitet.

    Vermutlich sind im Moment wieder viele Bots unterwegs und suchen neue Rechner um noch mehr und größere DDos Attacken fahren zu können, ich wurde bis jetzt zum glück verschont bzw. bin noch nicht entdeckt worden.

    Danke für die Info.

    Ich sehe mal nach, bei einem hab ich schon festgestellt das fail2ban auf einen error läuft, na toll, aber gut das man mal nachguckt.

    "Wissenschaft ist immer nur der aktuelle Stand des Irrtums."

    Quote from Sojan

    Seit ein paar Tagen nimmt Brute-Force am SSH-Port kräftig zu. Liegt das Grundrauschen sonst so bei 200 bis 300 Versuchen, so bin ich zur Zeit eher bei 5 bis 7000 am Tag. Den Standardport habe ich natürlich verlegt.

    Wer hat einen Server und kann Ähnliches berichten? Oder bin ich mit meinem bedeutungslosen Server irgendwie in den Fokus geraten? :/

    Das nimmt auch wieder ab. Vermutlich ist die ganze Range betroffen. Hauptsache die anderen Mechanismen greifen.

    Gute Gedanken, Gute Worte, Gute Taten. (Film: Bohemian Rhapsody)
    Wer nach Art 5 Abs. 1 GG schreit, muss auch Abs. 2 gelesen und verstanden haben. Nur weil mir das Eine gefällt, heißt das nicht, das ich das Andere ignorieren kann.Ich teile meine Erfahrungen und Lösungswege gerne, das heißt aber nicht, dass sie richtig sind.

    Da passt das von mir gestern gepostete irgendwie zu

    Quote from Sojan

    Liegt das Grundrauschen sonst so bei 200 bis 300 Versuchen, so bin ich zur Zeit eher bei 5 bis 7000 am Tag. Den Standardport habe ich natürlich verlegt.

    Auf welchen Port hast Du den denn umgebogen? 222 oder 2222 werden auch von Bots gern angesteuert. Hast Du eine feste IP oder kannst Du die ändern?

    Eine Möglichkeit ist auch, auf Port 22, 222 und 2222 ein Tarpit zu installieren. Bei mir sieht die Jail-Statistik schon seit Ewigkeiten so aus:

    Code
    Status for the jail: sshd
|- Filter
|  |- Currently failed:    0
|  |- Total failed:    0
|  `- Journal matches:    _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
  |- Currently banned:    0
  |- Total banned:    0
  `- Banned IP list:   

    Ich frag mich immer wieder was das Port ändern bringen soll, 3 Sekunden und ein Port Scanner hat das herausgefunden.

    Ich kann morgen bzw heute dann auch Mal schauen aber das ist ne Statistik die ich mir sonst nie gebe 😅

    Quote from Tealk

    Ich frag mich immer wieder was das Port ändern bringen soll, 3 Sekunden und ein Port Scanner hat das herausgefunden.

    Es gibt einige Methoden um zu verhindern dass ein Portscanner etwas findet. Du könntest z.B. irgendwo einen oder mehrere Port um den ssh Port herum öffnen, und jeden der dort zugreift bannen, also mit diversen Honig Töpfe. Desweiteren kannst du Portknocking den ssh Port auch sehr gut verstecken. Den muss den Portscanner dann auch erstmal finden, ohne dass gleich die ip geblockt wird. Wenn du das alles kommentierst hast du sicher mehr Ruhe..:-)

    LG Olav

    Die Grundlage aller Fundamente ist die Basis. :!::?::)

    Das Linux Universum ist unendlich. groß . Daher ist es manchmal schwer die passende Lösung zu finden. A b e r es gibt immer eine :)


    Bitte beachten Sie dass nicht alle meine Kommentare für Anfänger immer geeignet sind.

    Dir ist vollkommen bewusst dass ein Richtiger Portscan um einiges länger dauert?

    Denn es bringt in vielen fällen nichts, einfach nur einen "Port Ping" durchzuführen da oftmals Pings von außen einfach von der Firewall verworfen werden. Noch dazu bringt ein Ping Scan nicht viel da man ja nicht weiß welcher Dienst darauf läuft sondern man nur erfährt dass der Port offen ist, es wird zwar ein Service angezeigt dieser ist aber aus einer Datenbank und wird nicht überprüft.

    z.B. Ich habe mal in einer Testumgebung ssh auf den Port 1433 gelegt. 1433 ist der Standard Port für MSSQL (Microsoft SQL Server)

    Code
    time nmap -sS -p 1433 192.168.xxx.xxx

PORT     STATE SERVICE
1433/tcp open  ms-sql-s

Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds

real    0m0,134s
user    0m0,053s
sys     0m0,005s

    gegen

    Für nur einen Port hat sich die Zeit dadurch drastisch erhöht. Noch dazu ist dass ganze hier in einer VM also im realen wird dass etwas länger dauern.

    Hier mal für alle TCP Ports

    Wenn dann noch die UDP Ports dazu kommen dann dauert es länger (Der Scan läuft noch bei mir)

    Also selbst wenn ich die offenen Ports innerhalb von ca. 2-3 Sekunden herausfinden kann, so sind diese Daten meist nicht sinnvoll nutzbar da ich nicht weiß welcher Dienst sich dahinter versteckt. Um dass herauszufinden werden aus deinen 3 Sekunden mal schnell 3 Minuten pro Host.

    Man beachte ich habe hier in dieser VM Umgebung nicht viele Ports offen.

    Quote from Tealk

    Ich frag mich immer wieder was das Port ändern bringen soll, 3 Sekunden und ein Port Scanner hat das herausgefunden.

    Grundsätzlich hast du Recht. Wenn es jemand gezielt auf den Server abgesehen hat, dann bringt eine Portänderung natürlich nichts.

    Die meisten Angriffe laufen aber über Standardports. Und wenn ich durch Verlagerung die Zahl der Versuche über diesen Port reduzieren kann und das Log kleiner und damit übersichtlicher wird, dann ist schon ein kleines bisschen gewonnen.

    Quote from faxxy

    Ich würde den SSH Port ändern, ich vermute er wurde bei dir gefunden und dann weiter verbreitet.

    Bislang ging es über Port 3033, habe es jetzt auf 4711 verlegt. Mal schauen, wie die Angreifer zu Kölnisch Wasser stehen. ;)

    Quote from o-mobil

    Es gibt einige Methoden um zu verhindern dass ein Portscanner etwas findet. Du könntest z.B. irgendwo einen oder mehrere Port um den ssh Port herum öffnen, und jeden der dort zugreift bannen, also mit diversen Honig Töpfe. Desweiteren kannst du Portknocking den ssh Port auch sehr gut verstecken. Den muss den Portscanner dann auch erstmal finden, ohne dass gleich die ip geblockt wird. Wenn du das alles kommentierst hast du sicher mehr Ruhe..:-)

    Auch wenn die Zahl der Versuche prozentual deutlich gestiegen ist, absolut gesehen natürlich noch auf einem niedrigen Niveau. Sollte sich das aber ändern, dann werde ich sicherlich auf deine Tipps zurückkommen. Vielleicht mache ich es aber auch einfach aus Interesse. ;)

    Edited once, last by Sojan (September 5, 2025 at 5:27 AM).

    Nutzt ihr Tools zum Monitoring? Und wenn ja, welche?

    Bislang habe ich nur selbstgebastelte Befehle wie diesen hier, um die Zahl der Bans der letzten Tage abzufragen.

    Auch wenn es sinnvoll ist, halte ich mich aus Erfahrung vom Monitoring fern. Grund ist, der Puls bleibt selten im Normalbereich. Mein Monitoring besteht darin, in regelmäßigen Intervallen einen kurzen Blick in die Logs zu werfen und das war es dann auch schon. Zu Anfang wollte ich immer alles wissen, ließ mir bei jedem Bann ne E-Mail schicken, bis ich fast irre wurde.

    Fail2Ban ist nur ein Baustein. Ich lasse ihn zwar die IP's wieder freigeben, die gebannten IP's werden aber in einer anderen Datei per Script gesammelt, IP's wenn sie sich im gleichen Segment befinden reduziert auf cidr /24 und dann permanent iptables übergeben. Somit ist für eine Weile Ruhe. Da das Ganze in Rotation passiert, werden die IP's irgendwann am Ende der fail2ban-Logs wieder freigegeben.

    Der nächste Schritt für mich ist, sofern ich eine brauchbare freie Datenbank finde, ohne mich anmelden zu müssen, werden entsprechende Dienste nur noch aus einem Land erreichbar sein. Es macht einfach keinen Sinn SSH/FTP etc. von Musumbuktu aus erreichbar zu haben. Das filtert schon ordentlich etwas aus.

    Sofern Interesse besteht, kann ich das Script zum Auslesen und Umwandeln der IP's hier anbieten.

    Gute Gedanken, Gute Worte, Gute Taten. (Film: Bohemian Rhapsody)
    Wer nach Art 5 Abs. 1 GG schreit, muss auch Abs. 2 gelesen und verstanden haben. Nur weil mir das Eine gefällt, heißt das nicht, das ich das Andere ignorieren kann.Ich teile meine Erfahrungen und Lösungswege gerne, das heißt aber nicht, dass sie richtig sind.
    Quote from MyLibertad

    Der nächste Schritt für mich ist, sofern ich eine brauchbare freie Datenbank finde, ohne mich anmelden zu müssen, werden entsprechende Dienste nur noch aus einem Land erreichbar sein. Es macht einfach keinen Sinn SSH/FTP etc. von Musumbuktu aus erreichbar zu haben. Das filtert schon ordentlich etwas aus.

    Dann lese doch diese Daten aus und packe sie in eine Datenbank :)

    Index of /ipblocks/data/aggregated/

    Quote from MyLibertad

    Auch wenn es sinnvoll ist, halte ich mich aus Erfahrung vom Monitoring fern. Grund ist, der Puls bleibt selten im Normalbereich. Mein Monitoring besteht darin, in regelmäßigen Intervallen einen kurzen Blick in die Logs zu werfen und das war es dann auch schon. Zu Anfang wollte ich immer alles wissen, ließ mir bei jedem Bann ne E-Mail schicken, bis ich fast irre wurde.

    Ja, ausarten sollte es nicht. Aber wer einen Server ins Netz stellt, hat aus meiner Sicht auch eine gewisse Verantwortung. Muss sich ja nicht zu den Saugrobotern und IP-Kameras gesellen, die gerade einen DDos-Angrif starten.

    Quote from Sojan

    https://www.ipdeny.com/ipblocks/data/aggregated/

    Uiuiui, vielen Dank. :thumbup::love:

    Quote from Sojan

    Ja, ausarten sollte es nicht. Aber wer einen Server ins Netz stellt, hat aus meiner Sicht auch eine gewisse Verantwortung. Muss sich ja nicht zu den Saugrobotern und IP-Kameras gesellen, die gerade einen DDos-Angrif starten.

    Dem kann ich nur beipflichten. Wenn das nur alle so sehen würden, aber vielen ist wichtiger die Heizung zuhause zu steuern, als sich um andere Teilnehmer im Netz zu interessieren. Jeder ist sich selbst der Nächste.

    Gute Gedanken, Gute Worte, Gute Taten. (Film: Bohemian Rhapsody)
    Wer nach Art 5 Abs. 1 GG schreit, muss auch Abs. 2 gelesen und verstanden haben. Nur weil mir das Eine gefällt, heißt das nicht, das ich das Andere ignorieren kann.Ich teile meine Erfahrungen und Lösungswege gerne, das heißt aber nicht, dass sie richtig sind.
    Quote from o-mobil

    Es gibt einige Methoden um zu verhindern dass ein Portscanner etwas findet. Du könntest z.B. irgendwo einen oder mehrere Port um den ssh Port herum öffnen, und jeden der dort zugreift bannen, also mit diversen Honig Töpfe. Desweiteren kannst du Portknocking den ssh Port auch sehr gut verstecken. Den muss den Portscanner dann auch erstmal finden, ohne dass gleich die ip geblockt wird. Wenn du das alles kommentierst hast du sicher mehr Ruhe..:-)

    LG Olav

    Gut das ist aber mehr ein Konzept als eine einfache Portänderung.

    Da bin ich dann bei dir.

    Quote from Tealk

    Ich kann morgen bzw heute dann auch Mal schauen aber das ist ne Statistik die ich mir sonst nie gebe 😅

    Oder auch nicht, man sollte fail2ban auch sauber einstellen nach der installation xD

    Dafür kann man die alle einsehen: https://www.abuseipdb.com/user/90603

    Die Portänderung hat tatsächlich etwas gebracht - jedenfalls für den Moment. War dann aber so ruhig, dass ich mich selber "angegriffen" habe, um fail2ban zu testen. Hat funktioniert! ;)

    Habe SSH und Fail2ban als Anlass genommen, mich auch mal um Nginx zu kümmern.

    Alles was in der /var/log/nginx/access.log mit 4xx beginnt, wird jetzt gnadenlos gebannt. Und damit etwas Spaß aufkommt, habe ich MaxRetry auf 1 gesetzt. Da kommt echt was zusammen. ^^

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login