Neuer Cloudserver und schon wieder ungewollter Besuch
Bruteforcer wieder an der Arbeit und was man dagegen machen kann.
Erwartete Lesezeit: 2 minuten
Nach längerer Zeit , habe ich ich mir mal wieder eine Virtuellen Server geholt um etwas zu spielen.
Doch bereits nach dem Hochfahren und dem ersten Login , habe ich die Nachricht erhalten , dass es 115 fehlerhafte Login-Versuche gab.
Also hab ich mir wieder den Spaß gemacht und einen SSH Honeypot aktiviert und den gesamten Traffic des SSH Ports 22 dorthin umgeleitet.
Nach zwei Stunden habe ich Ihn dann mal ausgewertet und konnte 172.551 Loginversuche von 12 unterschiedlichen IP Adressen sehen. Alle aus dem “Reich der Mitte”. Ich habe mir bei einer IP Adresse mal die mühe gemacht und habe diese einmal mal im Browser aufgerufen. Nach ein paar Sekunden wurde mir mir ein privater NAS angezeigt. Also entweder war das ein ScriptKiddie von zu Hause, oder des Nas wurde gehackt und für den Angriff genutzt, oder der Hacker hat im Homeoffice gearbeitet .
Da das ganze aber langweilig wurde, habe ich den SSH Zugang auf einen anderen Port umgeleitet. Ich sage jetzt nicht wie , aber hier ein Beispiel wie man es machen kann.
In der sshd_config Datei kann man einfach den Port anpassen :
Bei mir liegt diese Datei unter:
/etc/ssh/sshd_config
In dieser Datei muss man dann nach einer Zeile mit dem Port suchen. Bei mir war, da es sich um die Standardeinstellungen handelte, in einer auskommentierte Zeile :
aus # Port 22 wird zum Beispiel Port 60022
Bevor man jetzt den sshd Service restartet sollte man unbedingt eine entsprechende Firewallregel einrichten, da man sich sonst aussperrt, sofern man keinen physischen Zugang zum Server hat
Beispiel :
firewall-cmd --permanent --zone=public --add-port=60022/tcp firewall-cmd --reload
nun kann man über den Befehl :
systemctl restart sshd
den ssh Service restarten und von nun an über den neuen Port arbeiten.
Zwar können die Angreifer über einen Portscan den neuen offenen Port finden, aber erstmal ist Ruhe.
Als weitere Maßnahme habe ich für Login des root Users , den Zugang das Private Key verfahren umgestellt.
Hierzu habe ich mir ein neues Schlüsselpaar generiert :
ssh-keygen -d
Sobald der Public Key hinterlegt ist und der private Schlüssel lokal vorhanden ist, kann in der sshd_config Datei die Password Authentifizierung deaktivieren. Hierzu müssen die folgenden 3 Zeilen ergänzt/geändert werden.
ChallengeResponseAuthentication no PasswordAuthentication no UsePAM no
Nach einem Restart des Services ist nun nur noch eine Anmeldung über das Schlüsselpaar möglich