försök till dataintrång i min server

[Thomas]

Hej.

hoppas jag postar i rätt del på forumet nu.

Det är så att jag får en jävla massa försök till intrång i min linux burk. Kör den som router, brandvägg, filserver.

Kör med firestarter just nu. Det jag skulle vilja göra är att göra motatacker mot dom här ip nr. Så försöker dom ansluta på tex port 22 så ska min dator svara med att göra samma sak, eller kanske till och med skicka 100 försök på just den porten varje gång dom försöker ansluta en gång. Gör man så kanske dom ger upp för eller senare. Satt och kollade lite ip nr i innan idag, hade 400 försök på blandade portar från ett och samma ip nr. Och logen gick väl bara så där 2 dagar tillbaka.

[Okänd]

Vilket IP nummer kom det där ifrån?

LJ

[Barre]

Hej Tomas.

Jag kan rekommendera dig att installera ett program som automatiskt slänger in en iptables regel vid felaktiga inloggningsförsök.
Som t.ex fail2ban. Om tre felaktiga inloggningsförsök upptäcks kommer fail2ban att konfigurera en iptables regel som inte tillåter anslutning till din server igen på en timme (dess värden kan givetvis ändras)..

Det är aldrig bra att bemöta en olaglig handling med en olaglig handling, oftast är det redan crackade system som försöker bryta sig in i ditt system, alltså en stackars oskyldig person

ett annat tips är att byta ssh porten från port 22 till något annat..

[Sprak]

Troligtvis är de datorerna som försöker logga in på din dator redan kapade datorer så det kommer inte att hjälpa särskilt mycket att göra en "motattack" mot dem. Det är väldigt sällan det sitter riktiga människor bakom sådana här attacker, utan oftast så är det automatiska skript som flyter runt och slentrianmässigt attackerar slumpmässiga datorer. Målet kan vara att sälja de kapade datorerna vidare till ljusskygga personer som vill skicka ut spam eller sätta upp falska banksidor.

Precis som Barre skrev så är den enklaste lösningen helt enkelt att byta port för ssh (/etc/ssh/sshd_config)

[Thomas]

ssh ligger på en helt annan port..gjort hela tiden.

Dom två ip nr som ligger på och försöker göra mest anslutningsförsök är kunder hos Bredbandsbolaget. Drog iväg ett Abuse till dom med logfiler från brandväggen, gjorde det i går förmidags och dom har inte orkat höra av sig.

Kod: Markera allt

161		snmp
80		HTTP
139		Samba (smb)
445		Microsoft-ds
137		Samba (smb)
138		Samba (smb)
10421		Okänd	
10426		Okänd

Är portanar dom 2 ip nr försöker ansluta på.

Har testa att byta mitt eget ip nr men då är det lungt i 2-3 dagar sen kommer dom två ip nr igen i logen.

peppar peppar ta i träd så har jag inte haft några försök från dom ip nr sen i går kväll.

[maths57]

Det finns robotar där ute som bara söker av internet efter öppna datorer. Främst Windows. I min D-Link router får jag sånt här hela tiden i loggen. Om allt är stängt borde ingen kunna ta sig in.

[Thomas]

ju jag vet att där finns robotar som säker av nätet..men det som är rätt intersant i det här är att jag har BBB och mitt ip nr 213.113.24X.XXX  och dom här försken kommer i från 213.113.24X.XXX gruppen..allså kunder hos bbb i malmö området.

får väl se vad bbb svara på min abuse anmällan till dom.  sedan jag mail dom ang det här så har jag inte haft några försök från dom 2 ip nr..haft en del annat men det kan man leva med om man ha 10 försök på 12-14 timmar så..

[Galgalid]

**följer det här med stor nyfikenhet** 

[Sualo]

Hejsan!

Barre du rekomenderade att byta port för ssh till en annan än port 22. Vilken port är lämplig att byta till. måste man efter ett portbyte aktivt ange port om man ssh:ar till sin dator från en annan? och hur gör man då?

(förlåt att jag lånade tråden lite)

[Barre]

Hejsan!

Barre du rekomenderade att byta port för ssh till en annan än port 22. Vilken port är lämplig att byta till. måste man efter ett portbyte aktivt ange port om man ssh:ar till sin dator från en annan? och hur gör man då?

(förlåt att jag lånade tråden lite)

Jadu, vilken port som rekomenderas vet jag inte.. personligen skulle jag valt ett högt portnummer (över 1024), men som är "enkel" att komma ihåg.

När du sen ansluter dig till servers måste du ange porten du vill ansluta dig till. Låt oss anta att du satt port 33333 för sshd.
för att ansluta dig skriver du "bara"
ssh -p 33333 user@host.domain.net

[Sualo]

Tack så mkt!!!

[johanre]

får väl se vad bbb svara på min abuse anmällan till dom.  sedan jag mail dom ang det här så har jag inte haft några försök från dom 2 ip nr..haft en del annat men det kan man leva med om man ha 10 försök på 12-14 timmar så..

På senare tid (~5 år) upplever jag att Abuse anmälningar är som att skicka mail till /dev/null.. Jag får ytterst sällan något svar tillbaks. Däremot så är jag ganska säker på att något görs hos mottagaren  / ISPen men att de har blivit väldigt dåliga på att återkomma med rapport om vad de har / inte har gjort.

Därmed inte sagt att jag har gett upp; jag fortsätter skicka in Abuse anmälningar men jag förväntar mig aldrig ett svar.

[Thomas]

Sist jag skickade en abuse anmälningn så fick jag svar på ett par timmar och det var med hos bbb.. Men det är ju bara skicka på och hoppas på det bästa.Nått måste ju ha hänt, för att jag inte har fått några försök på 2 dagar typ från dom två ip.

[Mekaniserad Apelsin]

Kör med firestarter just nu. Det jag skulle vilja göra är att göra motatacker mot dom här ip nr. Så försöker dom ansluta på tex port 22 så ska min dator svara med att göra samma sak, eller kanske till och med skicka 100 försök på just den porten varje gång dom försöker ansluta en gång.

Det andra alternativet (spamma med samma sak) är ganska dumt och ställer ofta mer till besvär för dig själv.

Det går däremot att använda målet MIRROR i iptables så att all sådan trafik skickas direkt tillbaka till målet, dvs de tror du anslutit till dig, fast de anslutit till sig själva.

[Thomas]

låter intersant.. ska ta och läsa på om det i morgon

[vulfgar]

Kan det inte vara någon som laddar ner torrents eller via nåt p2p-nätverk som gjort intrångsförsöken "oavsiktligt"? Om man inte har fast IP så finns ju risken att man får ett nummer som använts av nån tankare. Eller är det andra portar inblandade då, kanske?

[Thomas]

inte varit någon torrents eller p2p-netverk mot den servern..och oftas så kör man på andra protar när det gäller torrents o så..


har inte fast ip eller ju det blir det när burken står på 24/7.

men det har iaf sluta sen jag skickade abuse anmälningn  så får väl se hur länge det går kanske så att bbb har stängt av den / dom från sitt nätet. gjort en djupare undersöking och sett att dom har portscanat fler än mig.

men ska läsa om den här miror saker i morgon   om inte annat för att det kan va bra att ha