SSH attacks

[netdata]

Ik zit met een vervelend probleem en geraak er niet echt wijzer uit.

Ik kreeg vandaag een maitje van mijn provider dat mijn IP getraceerd werd bij het gebruik van een attac.
En bij verder misbruik account disabled.

hieronder een kleine log van de gedupeerde:

Code: Selecteer alles

Sep 23 00:13:01 mail sshd[6375]: Invalid user user1 from 83.217.93.XXX
Sep 23 00:13:01 mail sshd[6375]: Failed password for invalid user user1 from
83.217.93.XXX port 62291 ssh2
Sep 23 00:13:04 mail sshd[6377]: Invalid user user2 from 83.217.93.XXX
Sep 23 00:13:04 mail sshd[6377]: Failed password for invalid user user2 from
83.217.93.XXX port 62564 ssh2
Sep 23 00:13:06 mail sshd[6379]: Invalid user user3 from 83.217.93.XXX
Sep 23 00:13:06 mail sshd[6379]: Failed password for invalid user user3 from
83.217.93.XXX port 62918 ssh2
Sep 23 00:13:08 mail sshd[6381]: Invalid user user4 from 83.217.93.XXX
Sep 23 00:13:08 mail sshd[6381]: Failed password for invalid user user4 from
83.217.93.XXX port 62943 ssh2
Sep 23 00:13:11 mail sshd[6383]: Invalid user user5 from 83.217.93.XXX
Sep 23 00:13:11 mail sshd[6383]: Failed password for invalid user user5 from
83.217.93.XXXX port 63130 ssh2
Sep 23 00:13:13 mail sshd[6385]: Invalid user user6 from 83.217.93.XXX
Sep 23 00:13:13 mail sshd[6385]: Failed password for invalid user user6 from
83.217.93.XXX port 63463 ssh2
Sep 23 00:13:15 mail sshd[6387]: Invalid user user7 from 83.217.93.XXX
Sep 23 00:13:15 mail sshd[6387]: Failed password for invalid user user7 from
83.217.93.XXX port 64059 ssh2
Sep 23 00:13:19 mail sshd[6389]: Invalid user user8 from 83.217.93.XXX
Sep 23 00:13:19 mail sshd[6389]: Failed password for invalid user user8 from
83.217.93.XXX port 64073 ssh2
Sep 23 00:13:22 mail sshd[6391]: Invalid user user9 from 83.217.93.XXX
Sep 23 00:13:22 mail sshd[6391]: Failed password for invalid user user9 from
83.217.93.XXX port 60534 ssh2
Sep 23 00:13:25 mail sshd[6393]: Invalid user user10 from 83.217.93.XXX
Sep 23 00:13:25 mail sshd[6393]: Failed password for invalid user user10

Zoals je zied werd er gebruik gemaakt van een dictionary file.

Mijn opstelling is een router waarin een DMZ zone is gemaakt.
In deze DMZ zone zitten verschillende Linux boxen.
In normale omstandigheden zouden deze redelijk goed beveiligd moeten zijn.
root wachtwoord = very secure

Aangezien ik het budget niet heb om een mooie hardware firewall neer te zetten gebruik ik op iedere linux box IPtables. Deze zouden goed moeten staan.

Uit de attack is ook af te leiden dat het om een SSH crack ging.
Wat me dan weer doet twijfelen over mijn linux boxen aangezien zij allemaal SSHD hebben (wat dus ook een ssh client is)

of heeft iemand mss weet van andere mogelijke atacks via trojans ofzo.

Of zou ik toch maar in de richting van mijn linux boxen moeten gaan zoeken...

ps: in mijn logboeken vind ik niet iets verdacht terug (mijn router houd de logs maar 24 uur bij dus hier had ik niet echt iets aan...)

wat zijn men mogelijkheden?

[Pengu]

Ik gebruik gewoon linux als desktop en heb sshd ook installed staan op mijn pc. En ik kom zo'n dingen ook constant tegen. Het enigste wat je kan doen is je poort van je sshd veranderen naar een totaal andere poort.
Maar verder zou ik me niet teveel zorgen maken omtrend dit probleem. Het zijn gewoon zoals je zegt gebruikers uit een dictonairy file ofzo en de mogelijkheid dat ze jouw user account + passwoord vinden is denk ik nihil. Misschien bestaat er de mogelijkheid om na een aantal keren de pogingen te blokkeren op IP-adres maar ik zou me er echt niet druk om maken als ik van jou was.

[KK]

Bedoel je dat iemand de SSH client op jouw linux box gebruikt om anderen te proberen hacken?
Indien ja, waarom dan niet gewoon in je firewall de SSH poort blokkeren voor de buitenwereld, zodat je enkel nog intern kan inloggen?

[Ofloo]

weet je wat ik zou doen ik zou een nieuw boxke pakken dat gateway naar dat instellen vandaar uit een nat draaien en wachten wie er passeert ! loggen natuurlijk eh

xploits kan alles zijn hoeft niet persé ssh te zijn kan ook een apache exploit sendmail enz .. kan zelfs een locale exploit zijn die via php cross scripts is uitgevoerd enz ..

enige wat ik kan zeggen is dagelijks checken voor updates en zo snel mogelijk update..

maar ik vind het nogal zeik dat een isp uw account desactieveerd vanwege dit .. aangezien het logs zijn en dat het gewoon iemand kan zijn die jouw wil kloten !

geef me je ip eens ik zal ook eens wat abuse zenden als dit het geval zou zijn is dit de beste dos die er is hehe

looks like a bruteforcer .. check for weak passwords.. seems you have one it's not sure that it is a root account could be a user account !

try dsniff & tcpspy & tcpflow
tcpflow should show you where the binairy is located tcp flow should capture all traffic.. dsniff should do this as well..

[netdata]

Jaja inderdaad ik vermoed dat de SSH client van mijn linux box gebruikt wordt.

Alvast bedankt voor de antwoorden.
Ik ben al meerdere malen naar de FCU (federal crime unit) gemoeten omwille van deze stomme attacs (steeds onschuldig)

ja dat heb je nou eenmaal met een fixid IP waarda je nog wa servers achter draait zeker.
Ik heb het geld en de middelen (kennis) ook niet om een deftige security audit te laten doen.
Ik ken best wel veel van WAN en LAN netwerken maar in security eigenlijk een leek die roeit met de riemen die ik heb.

Wat ik vandaag ga doen is op alle windows clients de virusscanner ne keer updaten en laten lopen.

De logs van men linuxen eens goed gaan opvolgen. En hopen dat het niet meer voorvalt he.

Heb al wel een Watchguard FireboxIII firewall besteld.

mochten er nog suggestie's zijn...

Ik zal ook eens wat trafiek gaan sniffen.
Maar dat zal pas iets zijn voor volgende week

[ubremoved_983]

maar ik vind het nogal zeik dat een isp uw account desactieveerd vanwege dit .. aangezien het logs zijn en dat het gewoon iemand kan zijn die jouw wil kloten !

Ik denk dat de ISP in kwestie hem wel heeft ingelicht van het feit dat er mogelijk misbruik is gemaakt van zijn computer infrastructuur ! Believe you me, ik heb ook al zo post mogen ontvangen van Skynet hoewel ik onschuldig was !

Ik ben al meerdere malen naar de FCU (federal crime unit) gemoeten omwille van deze stomme attacs (steeds onschuldig)

tis FCCU (Federal Computer Crime Unit)

[meon]

Jaja inderdaad ik vermoed dat de SSH client van mijn linux box gebruikt wordt...

Laat intkomende traffiek enkel toe via VPN?
Moet je véél minder poorten open zetten

[Lukse]

Code: Selecteer alles

... 83.217.93.XXX ...

Ik denk dat de ISP in kwestie ...

[gedeco]

Het enigste wat je kan doen is je poort van je sshd veranderen naar een totaal andere poort.

Anders kun je nog de combinatie snort/snortsam gebruiken om dergelijke attacks te blokeren dmv een rule die het ipadress automatisch blokkeert voor een bepaalde tijd.

Verder kan de attacker nog het source ip adres spoofen. Dit is heel handig indien ie zich in dezelfde iprange bevindt als het gespoofde ip adress. Met een sniffer kun je immers ook de replies onderscheppen. Maar dit heeft dan meer te maken met de architectuur van het netwerk in kwestie. Ik neem aan dat het gaat over telenet?
Deze techniek zou de heren van de FCCU ook moeten bekend zijn.

Voor de zekerheid kun je de linuxboxen testen op rootkits. Er bestaan links en rechts wel wat software die rootkits detecteert.

Maar persoonlijk zou ik toch even je website onder de loupe nemen. Het is me niet duidelijk welke CMS hiervoor gebruikt wordt (Oscommerce?), maar mogelijks zit er een achterpoortje in.
Het lijkt me in alle geval de eerste toegangspoort te voor een wouldbe hacker.

@offloo

geef me je ip eens ik zal ook eens wat abuse zenden als dit het geval zou zijn is dit de beste dos die er is hehe

Dat is een héeel makelijke, maar ik zal hem hier niet posten.
Prodata kan waarschijnlijk bevestingen dat de som van de laatste drie ontbrekende digits gelijk is aan 9, of ik heb een ander ip gevonden.

De logs van men linuxen eens goed gaan opvolgen. En hopen dat het niet meer voorvalt he.

Er bestaan ook windows clients voor ssh...
Waarschijnlijk wordt een perl script gebruikt voor de brute force attack.
Perl werkt eveneens onder windows, maar met andere modules.

[Ofloo]

Jaja inderdaad ik vermoed dat de SSH client van mijn linux box gebruikt wordt.

Alvast bedankt voor de antwoorden.
Ik ben al meerdere malen naar de FCU (federal crime unit) gemoeten omwille van deze stomme attacs (steeds onschuldig)

ja dat heb je nou eenmaal met een fixid IP waarda je nog wa servers achter draait zeker.
Ik heb het geld en de middelen (kennis) ook niet om een deftige security audit te laten doen.
Ik ken best wel veel van WAN en LAN netwerken maar in security eigenlijk een leek die roeit met de riemen die ik heb.

Wat ik vandaag ga doen is op alle windows clients de virusscanner ne keer updaten en laten lopen.

De logs van men linuxen eens goed gaan opvolgen. En hopen dat het niet meer voorvalt he.

Heb al wel een Watchguard FireboxIII firewall besteld.

mochten er nog suggestie's zijn...

Ik zal ook eens wat trafiek gaan sniffen.
Maar dat zal pas iets zijn voor volgende week

windows is gemakkelijk eigenlijk zolang er geen hackdefender geinstalleerd is.. dan is het wat moeilijker
download fport.exe doe netstat -an

kijk wat er uitgaat gebruik fport om de path te vinden .. en klaar is kees als svchost on program files zit tja dan weet je genoeg eh.. hehe

ik zou gewoon een klein oud pcke nemen of zoiets en een gateway maken en gewoon u traffic bekijken waar het naartoe gaat enz op deze manier kan je echt zien of er niks aan de hand is omdat al je traffic voorbij 1 punt moet !!

bekijk het zo virusscanners vinden lang niet alles en op linux kan het overal zitten 90% van linux is script dus je kan het direct ergens bij stoppen.. is gewoon een ramp ! ook heb je gemodifeerde ps, netstat enz dus veiligste is gewoon dus gateway maken en kijken, dan ben je op zijn minst zeker ook ff u firmware van u router checken of daar geen exploits inzitten want bots spreaden ook over router firmwares of het kan althans..

[Ofloo]

mogelijk een ssh worm want ik heb vandaag een brute forcer op bezoek gehad die mijn ssh probeerde binnen te komen

check uwe syslog ik ben zeker als het op ssh binnen gekomen is dat je er iets van ziet in uwe syslog