VPS

    Hallo,

    Ik heb een VPS en ik merkte dat iemand probeerde in te loggen op root.
    Nu heb ik CSF geinstalleerd en ingesteld en nu vroeg ik me af (aangezien ik nog redelijk nieuw ben op het hele server gebied) of ik nog meer moet doen.

    Ik heb nu een aantal emails ontvangen waarin word vermeld dat er een SSHD aanval is gedaan.
    Bij elke aanval is het IP anders en wanneer ik de IP-Adressen traceer komen ze overal vandaan, China, Rusland, United States, Philippines, etc.

    Er zijn in totaal al meer dan 650 aanvallen geprobeerd.

    Nu zou ik graag willen weten wat SSHD precies inhoudt, of ik hier verder nog iets aan kan doen en of ik dit soort aanvallen kan voorkomen.

    Ik draai overigens CentOS 6.5

    Met vriendelijke groet,
    Knowboard.

    Talen: PHP, Javascript, SQL, XML, HTML, CSS, Java, C#

    Verplaats je SSH poort naar een niet standaard. Zo moeten ze gaan port scannen om te vinden waar de ssh port zich bevindt. Als je vervolgens in je firewall port scan blokkeerd ben je al redelijk veilig.

    Zorg er ook voor dat je root user niet kan inloggen via ssh maar een andere gebruiker. Via die andere gebruiker kan je dan vervolgens duur sudo te doen toch root rechten krijgen.

    Hallo,

    Bedankt voor de reacties.

    Ik heb in /etc/ssh/sshd_config gekeken en zag daar #Port 22 staan.
    Ik heb hier de # weg gehaald en een custom poort ingesteld. Echter weet ik niet of ik nog meer moet doen, op internet word mij verteld dat ik de custom poort in iptables moet toelaten echter is er niks verandert en werkt alles nog gewoon zoals 't deed voor ik de verandering maakte.

    Een ander probleem waar ik op stuit is root login. Ik kan wel met root inloggen, maar in /etc/ssh/sshd_config staat PermitRootLogin toch op nee. (Dit was standaard zo).


    Hoe kun je alleen je eigen IP toestaan om in te loggen ?

    Met vriendelijke groet,
    Knowboard.

    Talen: PHP, Javascript, SQL, XML, HTML, CSS, Java, C#

    Zodra je poort 22 eraf haalt moet je de nieuwe poort wel open zetten in CSF anders blijft SSH nog onbereikbaar voor jou.
    En deze aanvallen moet je niet persoonlijk zien, als ik thuis op me NAS de SSH open zet start het met 5 minuten al, zijn gewoon botjes die random aanvallen plegen.

    Slimste is om de root login eruit te halen, zo moeten ze eerst met een ander account inloggen en met commando su op root niveau komen, na invoer root wachtwoord uiteraard.

    Het verstandigste is dus om de tips van Bits aan te houden, op die manier ben je wel redelijk beveiligd.

    Hallo,

    Zodra je het volgende doet zit je veilig:
    - Verander standaard poort.
    - Blokkeer poort scans.
    - IP-ban een uur na vijf mislukte pogingen.

    Hiermee breng je jezelf niet in gevaar en is een brute-force onmogelijk.

    Root login eruit halen is veiliger, maar heeft in principe geen extra toegevoegde waarde doordat deze methode al waterdicht is. Ik persoonlijk vind het zelf namelijk vervelend. Enige probleem kan nog bij jou liggen, doordat iemand jouw wachtwoord achterhaald en dan inlogd met root.

    Om dat te voorkomen en voor maximale veiligheid kan je gebruik maken van een public/private key authentication. Hier geld wel weer hetzelfde als met een wachtwoord. Zorg dat dit niet in andere hun handen komt!

    Edit: Na tip van WMDiensten: let op, als je de private key kwijt raakt kan je er ook niet meer in!

    Mvg,
    Tim

    Hallo,

    Bedankt voor alle reacties!

    Ik heb de poort nummer verandert.
    Ik blokkeer nu IP's na 5 mislukte pogingen.
    Root login is uitgeschakeld.

    Tim,
    Ik heb gekeken naar public/private key authentication maar ik kom hier niet helemaal uit. Ik heb verschillende website's bezocht op internet maar helaas loop ik elke keer vast op het zelfde stuk.


    Betreft het blokkeren van poort scans heb ik geen idee hoe ik dit moet doen.
    Als ik in CSF de iptables log komen hier nog steeds aanvallen bij te staan. Ik neem aan (zoals hier werd gezegd) dat dit botjes zijn.

    Hopelijk kunnen jullie mij hier mee verder helpen

    Alvast bedankt!

    Met vriendelijke groet,
    Knowboard.

    Talen: PHP, Javascript, SQL, XML, HTML, CSS, Java, C#

    Bewerkt 2 keer, laatst door Knowboard (25 april 2014 om 06:58).

Participate now!

Heb je nog geen account? Registreer je nu en word deel van onze community!

Maak een account aan Login