SSH-Tarpit - wir ärgern Portscanner

  • Hier mal eine Vorstellung von SSH-Tarpit. Es handelt sich um ein Tool, welches Angreifer aus dem Netz in einem Server/Rechner festklebt.

    Der SSH Zugriff auf einen entfernten Rechner erfolgt im Standard über den Port 22. Entsprechend versuchen viele böse Jungs und Mädels, meistens aus dem asiatischen Bereich, offene Ports im Internet zu finden um dann zu versuchen via Wörterbuchabfragen einzubrechen. Daher sollte jeder, welcher SSH im Internet benutzt grundsätzlich den Standardport ändern! Um die Angreifer ärgern gibt es SSH-Tarpit (auf deutsch Teergrube). Normal ist es so, dass bei einer SSH Loginanfrage sofort die Passwortaufforderung angezeigt wird. Dies wird mit SSH-Tarpit verhindert, bzw. so verzögert, das der Angreifer wortwörtlich an dem Server festklebt und nichts mehr machen kann. Seine einzige Möglichkeit ist, die Verbindung zu trennen. So lang der Angreifer bei einem klebt, kann er niemand anderen behelligen was auch sehr gut ist.

    Da man den Port von SSH geändert hat, kann man jetzt Tarpit auf dem 22er laufen lassen, bzw. den 22er im Router auf irgend einen anderen umleiten (z.Bsp 2222), so kann man weiterhin SSH uneingeschrengt nutzen.

    Wärend ich hier schreibe logge ich meinen Tarpid mit, damit ihr sehen könnt, das sie Scanns aus dem Netz nicht gerade wenig sind.


    Installation


    Python PIP installieren:


    Arch:

    Code
    sudo pacman -S python-pip


    Debian:

    Code
    sudo apt install python3-pip


    ssh-tarpit installieren


    Arch:

    Code
    pip install ssh-tarpit


    Debian:

    Code
    pip3 install ssh-tarpit

    jetzt muss ssh-tarpit nur noch gestartet werden



    -i der interval zu den einzelnen Abfragen wärend des Verbindungsaufbaus bzw. Banneraustausch

    -a Adresse eures Servers

    -p welcher Port

    -f /Pfad7zur/ssh-tarpid.log <-- wenn ihr eine möchtet


    Code
    ssh-tarpid -i 4 -a 192.168.2.5 -p 2222

    PC | AMD Ryzen 7 3700X - NVIDIA GeForce RTX 2070 Super - 32 GB RAM - 1 TB NVME - 2 TB HDD - ArchLinux

    Lappi | Intel I3 - 16 GB RAM - 128 GB SSD - ArchLinux

    Homi | Intel Atom 3 - Intel Grafik - 4 GB RAM - 1x 128 GB SSD - 2x 4 TB Seagate IronWolf HDD im RAID - Debian 11 mit OMV 6

    ________________________________________________________________________________

    RADIO TEAM BAWÜ - Wir haben Spaß an Musik!!!

  • Hier mal meine Log von knapp 35 Minuten

    Viel Spass beim zurückschalgen/ärgern :-D.

    PC | AMD Ryzen 7 3700X - NVIDIA GeForce RTX 2070 Super - 32 GB RAM - 1 TB NVME - 2 TB HDD - ArchLinux

    Lappi | Intel I3 - 16 GB RAM - 128 GB SSD - ArchLinux

    Homi | Intel Atom 3 - Intel Grafik - 4 GB RAM - 1x 128 GB SSD - 2x 4 TB Seagate IronWolf HDD im RAID - Debian 11 mit OMV 6

    ________________________________________________________________________________

    RADIO TEAM BAWÜ - Wir haben Spaß an Musik!!!

  • Coole Sache. Vielen Dank für das Tutorial! :thumbup:

    Daily Driver PC: Pop!_OS 22.04 + Win 10 Dual Boot/ Intel i7-7700K / NVIDIA GeForce GTX 1070 / 32 GB RAM / 3x 1TB Samsung SSD

    Daily Driver Laptop: HP Elitebook x360 1030 G2 / Fedora 39 / Intel i5-7200U / Intel HD 620 / 8 GB RAM / 500 GB Samsung NVMe

    Spiele PC: MX Linux + Garuda / AMD Ryzen 7 7800X3D / Radeon RX 6750 XT / 64 GB RAM / 2TB Samsung NVME + 512 GB Kingston NVME + 250 GB Samsung SSD

    Couch Laptop: Dell Latitude E6220 / Linux Mint 21 Cinnamon / 8 GB RAM / 250 GB Samsung SSD

  • Ich habe die LOG noch aktiv und habe in zwischen 2267 versuchte Verbindungen über Port 22 in ca. 24h. Das ist beachtlich, wie ich finde.

    Dateien

    PC | AMD Ryzen 7 3700X - NVIDIA GeForce RTX 2070 Super - 32 GB RAM - 1 TB NVME - 2 TB HDD - ArchLinux

    Lappi | Intel I3 - 16 GB RAM - 128 GB SSD - ArchLinux

    Homi | Intel Atom 3 - Intel Grafik - 4 GB RAM - 1x 128 GB SSD - 2x 4 TB Seagate IronWolf HDD im RAID - Debian 11 mit OMV 6

    ________________________________________________________________________________

    RADIO TEAM BAWÜ - Wir haben Spaß an Musik!!!

  • Wie funktioniert das hinter einem DSL-Router?

    Vor fast 50 Jahren: Direkt an der Konsole/Terminal. Erstes falsches Passwort..., zweites..., drittes... Dann funktioniert Login! Hurra! Scheinbar hat man Zugriff in das System. Es hakelt etwas und dauert etwas - und dann stehen bewaffnete Leute in der Tür. :(

    Manchmal schaue ich beim Router nach der CPU-Temperatur, WLAN-Auslastung. -> Wardriving, deauth attack, WPA3, PMF... und Schrebergärtner. :)

    2 Mal editiert, zuletzt von Alfred (4. Februar 2023 um 18:33)

  • Port 22 am Router auf Port 2222 gelinkt zum Rechner wo SSH-Tarpit läuft.

    PC | AMD Ryzen 7 3700X - NVIDIA GeForce RTX 2070 Super - 32 GB RAM - 1 TB NVME - 2 TB HDD - ArchLinux

    Lappi | Intel I3 - 16 GB RAM - 128 GB SSD - ArchLinux

    Homi | Intel Atom 3 - Intel Grafik - 4 GB RAM - 1x 128 GB SSD - 2x 4 TB Seagate IronWolf HDD im RAID - Debian 11 mit OMV 6

    ________________________________________________________________________________

    RADIO TEAM BAWÜ - Wir haben Spaß an Musik!!!

  • Ich habe doch gar keinen Server - und alle paar Stunden eine neue IP-Adresse. ... Jetzt.

    Einmal editiert, zuletzt von Alfred (4. Februar 2023 um 18:43)

  • Du kannst es auch auf deinem Rechner laufen lassen, nur eben nicht die Weiterleitung vom Router auf den Port 22 sondern irgend einen anderen und beim Start von ssh-tarpit dann den anderen Port angeben. Würde ich allerdings nicht tun...

    PC | AMD Ryzen 7 3700X - NVIDIA GeForce RTX 2070 Super - 32 GB RAM - 1 TB NVME - 2 TB HDD - ArchLinux

    Lappi | Intel I3 - 16 GB RAM - 128 GB SSD - ArchLinux

    Homi | Intel Atom 3 - Intel Grafik - 4 GB RAM - 1x 128 GB SSD - 2x 4 TB Seagate IronWolf HDD im RAID - Debian 11 mit OMV 6

    ________________________________________________________________________________

    RADIO TEAM BAWÜ - Wir haben Spaß an Musik!!!

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!