---

Hejsa,

Jeg har en Mac OS X Server kørende, hvor jeg lige pt. har porte
forwardet til via min CC Zyxel router. Da denne router er rimeligt
begrænset, har jeg istedet købt en Linksys WRT-54G, som jeg vil sætte
efter Zyxel routeren.

Jeg har overvejet at lægge Sveasofts Alchemy-firmware på Linksys'en,
for at få flere muligheder, da jeg nemlig har et specifikt problem.

Af en eller anden grund har nogen sat sig for at hacke sig ind på min
server. De prøver at logge ind via ssh på en hulens bunke porte, og
prøver med alle mulige brugernavne og med en masse passwords for root.
De kommer selvfølgelig ikke ind, for de kan ikke gætte mit password,
men det tager resourcer fra serveren og det er jeg træt af.

Jeg vil derfor gerne kunne spærre for de IP-adresser som prøver at
komme ind på min computer, for jeg har nemlig brug for selv at kunne
logge ind via ssh, så jeg kan ikke bare lukke for porten.

Hvordan laver man sådan en spærring i firewall'en? Jeg er totalt
newbie mht. at betjene en firewall via CLI, så det må godt være lidt
pædagoisk forklaret

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT

---

René Frej Nielsen<spam@rfn.dk> wrote in news:mhuik2-kv6.ln1
@osxserver.rfn.dk:

> Af en eller anden grund har nogen sat sig for at hacke sig ind på min
> server. De prøver at logge ind via ssh på en hulens bunke porte, og
> prøver med alle mulige brugernavne og med en masse passwords for root.
> De kommer selvfølgelig ikke ind, for de kan ikke gætte mit password,
> men det tager resourcer fra serveren og det er jeg træt af.

Du skal hellere anmelde dem. Brug formularen:

https://www.cert.dk/anmeldelsesblanket/ (punkt: Andet)

Det plejer at vare et par dage, så er det slut med det angreb.

mvh. NKJensen

--
Fjern begge DYT
Remove both DYT's

---

Niels Kristian Jensen <midlertidigDYT2005@interdytnetgruppen.dk> wrote:

>> Af en eller anden grund har nogen sat sig for at hacke sig ind p? min
>> server. De pr?ver at logge ind via ssh p? en hulens bunke porte, og
>> pr?ver med alle mulige brugernavne og med en masse passwords for root.
>> De kommer selvf?lgelig ikke ind, for de kan ikke g?tte mit password,
>> men det tager resourcer fra serveren og det er jeg tr?t af.
>
> Du skal hellere anmelde dem. Brug formularen:
>
> https://www.cert.dk/anmeldelsesblanket/ (punkt: Andet)
>
> Det plejer at vare et par dage, s? er det slut med det angreb.

Virker det? Jeg har prøve at skrive abuse-mails til diverse udbydere
som de tilsyneladende kommer fra. Jeg har dog ikke nok forstand på det
til at se om de virkeligt kommer fra de IP-adresser, som der står i
min log.

Det kommer fra forskellige IP-adresser, men i stimer fra først den
ene, og så den anden....

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT

---

René Frej Nielsen<spam@rfn.dk> wrote in news:jr7kk2-3i1.ln1
@osxserver.rfn.dk:

>> Du skal hellere anmelde dem. Brug formularen:
>>
>> https://www.cert.dk/anmeldelsesblanket/ (punkt: Andet)
>>
>> Det plejer at vare et par dage, s? er det slut med det angreb.
>
> Virker det? Jeg har prøve at skrive abuse-mails til diverse udbydere
> som de tilsyneladende kommer fra. Jeg har dog ikke nok forstand på det
> til at se om de virkeligt kommer fra de IP-adresser, som der står i
> min log.
>
> Det kommer fra forskellige IP-adresser, men i stimer fra først den
> ene, og så den anden....

Ja, det virker - dog forudsat at du medsender noget logfil info, så CERT i
Danmark kan se at der er noget om klagen.

Derefter kontakter de CERT eller lign. i det land, angrebet kommer fra, og
så plejer hammeren at falde over den skyldige server - der næsten altid
selv er en hacket slave som søger nye ofre til sin mester.

Jeg sender altid selv et stykke af den tekst, som "logwatch" genererer på
de to Linux maskiner, jeg deltager i driften af, når det bliver angrebet.
(Det er ca. 2 gange per uge.)

Mvh. NKJensen

--
Fjern begge DYT
Remove both DYT's

---

Niels Kristian Jensen <midlertidigDYT2005@interdytnetgruppen.dk> wrote:

>> Virker det? Jeg har pr?ve at skrive abuse-mails til diverse udbydere
>> som de tilsyneladende kommer fra. Jeg har dog ikke nok forstand p? det
>> til at se om de virkeligt kommer fra de IP-adresser, som der st?r i
>> min log.
>>
>> Det kommer fra forskellige IP-adresser, men i stimer fra f?rst den
>> ene, og s? den anden....
>
> Ja, det virker - dog forudsat at du medsender noget logfil info, s? CERT i
> Danmark kan se at der er noget om klagen.
>
> Derefter kontakter de CERT eller lign. i det land, angrebet kommer fra, og
> s? plejer hammeren at falde over den skyldige server - der n?sten altid
> selv er en hacket slave som s?ger nye ofre til sin mester.
>
> Jeg sender altid selv et stykke af den tekst, som "logwatch" genererer p?
> de to Linux maskiner, jeg deltager i driften af, n?r det bliver angrebet.
> (Det er ca. 2 gange per uge.)

Så var jeg godt nok mere udsat!

Nu har jeg heldigvis skiftet IP-adresse, da jeg er gået over til
Global IP hos CyberCity. Angrebene er helt holdt op, så de har
heldigvis brugt min IP-adresse og ikke mit domæne som adresse.

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT

---

René Frej Nielsen skrev:

> prøver med alle mulige brugernavne og med en masse passwords for root.
> De kommer selvfølgelig ikke ind, for de kan ikke gætte mit password,

Istedet for at være bekymret for om de gætter dit root-password, så
skulle du istedet fjerne muligheden for root-login. Man sover bedre om
natten.


--
Med venlig hilsen
Jesper G. Poulsen - Linux Registered User #316493
- Look, this is Debian. They don’t release things until you have to
fire rockets at the thing to stop it working

---

Jesper G. Poulsen <ms2mogens@ingensteder.dk.invalid> wrote:

>> prøver med alle mulige brugernavne og med en masse passwords for root.
>> De kommer selvfølgelig ikke ind, for de kan ikke gætte mit password,
>
> Istedet for at være bekymret for om de gætter dit root-password, så
> skulle du istedet fjerne muligheden for root-login. Man sover bedre om
> natten.

Kan det lade sig gøre at gør det sådan, at man stadig kan su til root,
men ikke kan logge sig på via ssh som root?

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT

---

René Frej Nielsen wrote:
> Kan det lade sig gøre at gør det sådan, at man stadig kan su til root,
> men ikke kan logge sig på via ssh som root?

Ja, det er netop hvad "PermitRootLogin" i sshd_config er til for.

Mvh. Martin

---

J. Martin Petersen <jmp@alvorlig.dk> wrote:

>> Kan det lade sig gøre at gør det sådan, at man stadig kan su til root,
>> men ikke kan logge sig på via ssh som root?
>
> Ja, det er netop hvad "PermitRootLogin" i sshd_config er til for.

Ja, jeg kan godt se at der er noget der hedder det. Hvis man sætter
den til "no", kan man så stadig su til root når man først er logget på
som en anden bruger?

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT

---

René Frej Nielsen wrote:
> J. Martin Petersen <jmp@alvorlig.dk> wrote:
>
>
>>>Kan det lade sig gøre at gør det sådan, at man stadig kan su til root,
>>>men ikke kan logge sig på via ssh som root?
>>
>>Ja, det er netop hvad "PermitRootLogin" i sshd_config er til for.
>
>
> Ja, jeg kan godt se at der er noget der hedder det. Hvis man sætter
> den til "no", kan man så stadig su til root når man først er logget på
> som en anden bruger?

Ja, ssh gør dig i stand til at logge på, den er ikke inde i billedet når
du først er logget på maskinen og har fået en shell, og prøver at udføre
kommandoer (som su) gennem den.

mvh. Martin

---

J. Martin Petersen <jmp@alvorlig.dk> wrote:

>> den til "no", kan man så stadig su til root når man først er logget på
>> som en anden bruger?
>
> Ja, ssh gør dig i stand til at logge på, den er ikke inde i billedet når
> du først er logget på maskinen og har fået en shell, og prøver at udføre
> kommandoer (som su) gennem den.

Fint nok, så slår jeg det lige fra. Men de forsøger sig også med en
masse forskellige navne, men sandsynligheden for at de rammer rigtigt
er meget lille. Det tager dog resourcer fra maskinen og generer en pid
for hvert forsøg. I løbet af få dage ligger den og roder med pid i
30-40.000.

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT

---

René Frej Nielsen wrote:
> Fint nok, så slår jeg det lige fra. Men de forsøger sig også med en
> masse forskellige navne, men sandsynligheden for at de rammer rigtigt
> er meget lille. Det tager dog resourcer fra maskinen og generer en pid
> for hvert forsøg. I løbet af få dage ligger den og roder med pid i
> 30-40.000.

Har det nogen betydning i praksis for maskinens gøremål?

Mvh. Martin

---

J. Martin Petersen <jmp@alvorlig.dk> wrote:

> René Frej Nielsen wrote:
>> Fint nok, så slår jeg det lige fra. Men de forsøger sig også med en
>> masse forskellige navne, men sandsynligheden for at de rammer rigtigt
>> er meget lille. Det tager dog resourcer fra maskinen og generer en pid
>> for hvert forsøg. I løbet af få dage ligger den og roder med pid i
>> 30-40.000.
>
> Har det nogen betydning i praksis for maskinens gøremål?

Jeg synes det ser ud som om, at der forsvinder noget RAM ved det,
selvom der selvfølgelig ikke burde gøre det, når nu processerne bliver
lukket igen. Det kan også være indbildning, men jeg ville da helst
have lukket for den trafik.

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT

---

René Frej Nielsen skrev:

> Kan det lade sig gøre at gør det sådan, at man stadig kan su til root,
> men ikke kan logge sig på via ssh som root?

Ja, som Martin skriver. Min server er iøvrigt sat op på denne måde.


--
Med venlig hilsen
Jesper G. Poulsen - Linux Registered User #316493
- Look, this is Debian. They don’t release things until you have to
fire rockets at the thing to stop it working

---

René Frej Nielsen skrev:


> Jeg har overvejet at lægge Sveasofts Alchemy-firmware på Linksys'en,
> for at få flere muligheder, da jeg nemlig har et specifikt problem.

> Af en eller anden grund har nogen sat sig for at hacke sig ind på min
> server. De prøver at logge ind via ssh på en hulens bunke porte, og
> prøver med alle mulige brugernavne og med en masse passwords for root.

Som andre skriver, slå Root-login fra.

> De kommer selvfølgelig ikke ind, for de kan ikke gætte mit password,
> men det tager resourcer fra serveren og det er jeg træt af.

Så hjælper det ikke meget at slå rootlogin fra. De fleste, angreb på mine
maskiner prøver også lige med 20-40 almindelige brugernavne.

> Jeg vil derfor gerne kunne spærre for de IP-adresser som prøver at
> komme ind på min computer, for jeg har nemlig brug for selv at kunne
> logge ind via ssh, så jeg kan ikke bare lukke for porten.

Hvis det virkelig er bestemte IP-adresser, kan du bare putte dem
i /etc/hosts.deny (hvis SSH bruger TCP-wrappers, men det gør den som
regel).
--
Niels Elgaard Larsen
http://www.agol.dk/elgaard

---

Niels Elgaard Larsen <elgaard@agol.dk> wrote:

> Så hjælper det ikke meget at slå rootlogin fra. De fleste, angreb på mine
> maskiner prøver også lige med 20-40 almindelige brugernavne.

Det er det samme her.

>> Jeg vil derfor gerne kunne spærre for de IP-adresser som prøver at
>> komme ind på min computer, for jeg har nemlig brug for selv at kunne
>> logge ind via ssh, så jeg kan ikke bare lukke for porten.
>
> Hvis det virkelig er bestemte IP-adresser, kan du bare putte dem
> i /etc/hosts.deny (hvis SSH bruger TCP-wrappers, men det gør den som
> regel).

Hmm... ja det ved så ikke. Apple har jo flyttet lidt rundt på tingene
i deres Mac OS X.

Jeg ville derfor forsøge at stoppe dem allerede i firewall'en, således
at de aldrig når min server. Det er dog lidt belastende, hvis de
skifter IP tit.

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT

---

René Frej Nielsen skrev:


> Jeg ville derfor forsøge at stoppe dem allerede i firewall'en, således
> at de aldrig når min server. Det er dog lidt belastende, hvis de
> skifter IP tit.

Og det gør de. Og hvis det faktisk lykkes dem at bryde ind på andre
maskiner, vil vi også blive angrebet fra de maskiner.

Og her var jeg så ved skrive at der var brug for er en slags ssh-sentry. Men
tænkte at jeg hellere måtte Google det først og minsandten:

http://simonraven.nuit.ca/src/miscellaneous/

Der står endda i kommentaren at det virker på OS/X.

Jeg har ikke prøvet det endnu. Men det ser lovende ud.

--
Niels Elgaard Larsen
http://www.agol.dk/elgaard

---

Niels Elgaard Larsen <elgaard@agol.dk> wrote:

>> Jeg ville derfor forsøge at stoppe dem allerede i firewall'en, således
>> at de aldrig når min server. Det er dog lidt belastende, hvis de
>> skifter IP tit.
>
> Og det gør de. Og hvis det faktisk lykkes dem at bryde ind på andre
> maskiner, vil vi også blive angrebet fra de maskiner.
>
> Og her var jeg så ved skrive at der var brug for er en slags ssh-sentry. Men
> tænkte at jeg hellere måtte Google det først og minsandten:
>
> http://simonraven.nuit.ca/src/miscellaneous/
>
> Der står endda i kommentaren at det virker på OS/X.
>
> Jeg har ikke prøvet det endnu. Men det ser lovende ud.

Du må meget gerne melde tilbage med resultatet. Det virker jo ret
smart...

Mit alternativ er at kun at tillade ssh-trafik fra de steder jeg
typisk befinder mig, men det vil jeg helst undgå.

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT