View previous topic :: View next topic |
Author |
Message |
shiosai Tux's lil' helper
Joined: 12 May 2005 Posts: 143
|
Posted: Wed Oct 26, 2005 2:53 pm Post subject: sshd: Invalid user test ... ->eine Chance geben? |
|
|
Hallo,
ich habe auf meinem Server seit kurzem sshd mit Standardport am Laufen um von der Uni auf ihn zuzugreifen. Die Authentifizierung läuft über rsa Schlüssel, so dass das ganze doch eigentlich recht sicher sein sollte.
Jetzt kommt es nur zu den scheinbar normalen Einträgen, wie versucht wird mit Standardnamen Zugriff auf das System zu erlangen.
Weil ich das recht interessant finde, habe ich mir gedacht mal einen user test mit dem passwort test zu erstellen und hierfür die Authentifizierung zu ändern, so dass der arme Wurm oder was auch immer am andern Ende lauert mal einen Erfolg hat und ich dann mal schauen kann, was die so anstellen wollen. Natürlich müsste man den entsprechenden User gut beschneiden und überwachen, damit nichts passiert.
Was haltet ihr denn von der Idee.. und auf was müsste man achten, damit das ganze trotzdem entsprechend sicher bleibt?
Oder ist das ganze eh extrem unspektakulär und tausendmal im Web nachzulesen? |
|
Back to top |
|
|
nic0000 l33t
Joined: 25 Sep 2005 Posts: 658
|
Posted: Wed Oct 26, 2005 3:13 pm Post subject: Re: sshd: Invalid user test ... ->eine Chance geben? |
|
|
shiosai wrote: |
Weil ich das recht interessant finde, habe ich mir gedacht mal einen user test mit dem passwort test zu erstellen und hierfür die Authentifizierung zu ändern, so dass der arme Wurm oder was auch immer am andern Ende lauert mal einen Erfolg hat und ich dann mal schauen kann, was die so anstellen wollen. Natürlich müsste man den entsprechenden User gut beschneiden und überwachen, damit nichts passiert. |
Ich glaube du suchst nach einem "honeypot"
shiosai wrote: | Was haltet ihr denn von der Idee.. und auf was müsste man achten, damit das ganze trotzdem entsprechend sicher bleibt?
Oder ist das ganze eh extrem unspektakulär und tausendmal im Web nachzulesen? |
Also ich finde die Idee gut, allerdings habe ich keine Ahnung davon wie es gemacht wird. Ich habe vor langer Zeit mal etwas darüber gelesen aber nie wirklich umgesetzt.
grüße
nico |
|
Back to top |
|
|
gordin Guru
Joined: 11 Oct 2002 Posts: 300 Location: Germany/WI
|
Posted: Fri Oct 28, 2005 9:33 am Post subject: |
|
|
Ich würde das nicht unbedingt als honeypot bezeichnen, da damit ein ganzer Dienst oder sogar ein ganzer Server simuliert wird, nicht ein einzelner Zugang in einem bestehenden Dienst.
Ich sehe die Idee, einen einzelnen User als fake in einem ansonsten produktiven System freizuschalten, eher kritisch.
Selbst wenn du den potentiellen Angreifer per chroot stark einschränkst, so hat er doch Zugriff auf den Dienst. Wenn es ihm gelingt, irgendwie den Dienst zu komprimitieren, Serverlast zu verusachen etc. schlägt das sofort durch auf die anderen User.
Schon eher praktikabel erscheint mir da einen eigenen SSH-Server nur für diese Aufgabe zu starten... evtl. den bestehenden auf einen anderen Port legen (wenn möglich), da die Angriffe doch sehr automatisiert auf port 22 gefahren werden (was dann einem honeypot entspricht).
Oder halt direkt ein eigener Server vor die firewall, der nur für Angriffe zuständig ist (ich kenne jetzt natürlich deine Netzwerktopologie nicht) |
|
Back to top |
|
|
SinoTech Advocate
Joined: 20 Mar 2004 Posts: 2579 Location: Neunkirchen / Saarland / Germany
|
Posted: Fri Oct 28, 2005 9:37 am Post subject: |
|
|
Evtl. dem Angreifer "screen" als login shell zur Verfügung stellen. Das unterstützt auch den Multi-user mode in dem du den Angreifer dann schön beobvachten könntest .
Mfg
Sino |
|
Back to top |
|
|
76062563 l33t
Joined: 16 Aug 2004 Posts: 637 Location: 127.0.0.1
|
Posted: Fri Oct 28, 2005 9:47 am Post subject: Re: sshd: Invalid user test ... ->eine Chance geben? |
|
|
shiosai wrote: | Was haltet ihr denn von der Idee.. |
Nichts.
Was hast du davon? _________________ gentoo - compile your own world |
|
Back to top |
|
|
SinoTech Advocate
Joined: 20 Mar 2004 Posts: 2579 Location: Neunkirchen / Saarland / Germany
|
Posted: Fri Oct 28, 2005 9:49 am Post subject: Re: sshd: Invalid user test ... ->eine Chance geben? |
|
|
76062563 wrote: | shiosai wrote: | Was haltet ihr denn von der Idee.. |
Nichts.
Was hast du davon? |
1. Spaß und ...
2. sieht man mal was so einer auf dem System macht
Mfg
Sino |
|
Back to top |
|
|
76062563 l33t
Joined: 16 Aug 2004 Posts: 637 Location: 127.0.0.1
|
Posted: Fri Oct 28, 2005 9:56 am Post subject: |
|
|
Sich selbst potentielle Sicherheitslöcher ins System zu bauen empfinde ich persönlich irgendwie nicht als Spaß
Was wird er schon machen? Irgendwie versuchen root zu kriegen, was ihm vermutlich nicht gelingen wird... _________________ gentoo - compile your own world |
|
Back to top |
|
|
ChrisM87 l33t
Joined: 07 Aug 2004 Posts: 728 Location: Rheinland-Pfalz (Germany)
|
Posted: Fri Oct 28, 2005 10:53 am Post subject: |
|
|
Hi,
die Idee mit dem Fakeuser ist zwar lustig, kann aber schnell gefährlich werden.
Mach lieber wie oben schon empfohlen den echten sshd auf einen anderen Port, z.B. 222, und einen Honeypot auf 22.
ChrisM _________________ born to be root - sorry for my bad English! |
|
Back to top |
|
|
slick Bodhisattva
Joined: 20 Apr 2003 Posts: 3495
|
Posted: Fri Oct 28, 2005 10:57 am Post subject: |
|
|
Also wenn ihr wirklich sowas machen wollt, alten Rechner nehmen und daneben stellen, paar Dummy-Dienste darauf installieren (so als wäre das der ultra-konkrete-mittelpunkt des LANs), über NAT und Umleitung den 22 transparent auf den alten Rechner legen und dort den Testuser einrichten. Wenns zu bunt wird die Kiste ausmachen bzw. Portumleitung aufheben und auf Änderungen untersuchen. |
|
Back to top |
|
|
gordin Guru
Joined: 11 Oct 2002 Posts: 300 Location: Germany/WI
|
Posted: Fri Oct 28, 2005 11:22 am Post subject: |
|
|
Das Problem grundsätzlich bei so Sachen ist, dass man einfach damit rechnen muss das der Angreifer mehr drauf hat als man selbst... oder einfach so unvorhergesehene Dinge tut/tun kann.
edit: OT aber evtl. interessant wegen des urspünglichen Posts betreffend Angriff auf ssh ist http://denyhosts.sourceforge.net/ |
|
Back to top |
|
|
mkr Apprentice
Joined: 14 Dec 2003 Posts: 188
|
Posted: Fri Oct 28, 2005 11:39 am Post subject: |
|
|
Falls man so etwas macht, sollte man folgendes beachten:
- nicht das Produktivsystem "hackbar machen", sondern eine seperate Maschine (virtuell ginge auch, am besten aber das Testsystem hardwaremässig von der Produktivumgebung trennen)
- den Server in ein seperates Netzsegment stellen, von wo er keinen Zugriff auf das LAN hat
- Verbindungen des Servers nach aussen sollten wenn möglich verhindert werden; wenn man aber überhaupt keine Verbindungen nach aussen zulässt, wird der Angreifer bald das Interesse am System verlieren. Deshalb besser die verfügbare Bandbreite beschränken, besonders auf den Ports 22 (wegen SSH-Scanning) und 25 (wegen Spamversand).
Ich habe mal einen Rechner so laufen lassen und schon nach kurzer Zeit hatte ich einen Gast. Entweder war es ein Script oder ein nicht sehr erfahrener "Hacker". Er versuchte über ein Rootkit für ältere 2.4er Kernel auf meinem 2.6er Kernel Rootrechte zu erlangen. Als das nicht funktioniert hat, installierte er einen IRC-Bot. Dieser nahm eine Verbindung zu einem IRC-Server in Finnland auf und wartete auf Befehle. Diese bekam er bald und mein Server begann, bei bestimmten IP-Adressen SSH-Brute-Force-Attacken durchzuführen. Dies merkte ich nicht sofort (war nicht am Rechner) und so liefen die Attacken ein paar Stunden, bis ich den Server vom Netz nahm. Als Folge darauf bekam ich von meinem Provider am nächsten Tag eine Mail, von meiner IP aus seien Attacken gemeldet worden. Ich solle die Attacken unterbinden und innerhalb von 12 Stunden mitteilen, welche Massnahmen ich gegen deren erneutes auftreten unternommen habe, sonst werde mein Zugang gesperrt. Ich erklärte dem ISP die Sache und der bat mich, in Zukunft solche Experimente nicht mehr ohne Massnahmen gegen Angriffe auf unbeteiligte Dritte durchzuführen. Deshalb auch meine Empfehlung bezüglich Rate-Limiting. |
|
Back to top |
|
|
ank666 Guru
Joined: 12 May 2004 Posts: 319 Location: CO/BY/DE
|
Posted: Fri Oct 28, 2005 1:21 pm Post subject: |
|
|
Man kann SSH auch im chroot Modus laufen lassen (USE="+chroot") dann ist der Test-User schon mal eingesperrt und hat nur die Kommandos zur Verfügung die man ihm eben in seinem Rootjail gewährt bzw. bereit gestellt hat. _________________ Auf der Verpackung stand benötigt Windows 9x/2000/XP oder BESSER, deshalb hab ich Linux installiert |
|
Back to top |
|
|
Freiburg Guru
Joined: 19 Jun 2004 Posts: 504 Location: Freiburg
|
Posted: Fri Oct 28, 2005 2:35 pm Post subject: |
|
|
chroots haben die Angewohnheit nicht ganz so sicher zu sein wie man glaub, also lieber vorsichtig sein... |
|
Back to top |
|
|
shiosai Tux's lil' helper
Joined: 12 May 2005 Posts: 143
|
Posted: Sat Oct 29, 2005 10:41 am Post subject: |
|
|
Vielen Dank für die umfangreichen Antworten,
nachdem ich mir alles durchgelesen und abgewogen habe,bin ich zu dem Schluss gekommen, dass es wohl doch nciht so einfach ist wie ich es mir vorgestellt habe. Auf jeden Fall wenn ich alle vorgeschlagenen Sicherheitsvorkehrungen treffe, von denen ich hier manche auf Grund der Struktur des Netzes und auch fehlender Hardware gar nicht durchführen kann. Scheinbar bleiben spektakuläre Erfahrungsgewinne auch eher aus. Deshalb werde ich wahrscheinlich fürs erste davon absehen.
Da ich aber daran arbeite, meinen PC in diversen Punkten "intelligenter" zu machen, werde ich auf Dauer aber nicht darum herumkommen ihn der bösen Welt da draußen zu öffnen um zu schauen wie er sich durchsetzen kann |
|
Back to top |
|
|
nic0000 l33t
Joined: 25 Sep 2005 Posts: 658
|
Posted: Sat Oct 29, 2005 1:05 pm Post subject: |
|
|
shiosai wrote: | Scheinbar bleiben spektakuläre Erfahrungsgewinne auch eher aus. Deshalb werde ich wahrscheinlich fürs erste davon absehen. |
Hehe
naja, wenn du für jemanden eine "Falle" baust der mit Bruteforce in dein System einbrechen will, dann kannst du ja nur einem Idioten bei der Arbeit zuschauen
Anderseits so etwas umzusetzen führt dich in die tiefen des Systems. Du kannst auf jeden fall viel über das System lernen. Das kann schon mal nichts schaden.
grüße
nico |
|
Back to top |
|
|
furanku l33t
Joined: 08 May 2003 Posts: 905 Location: Hamburg, Germany
|
Posted: Tue Nov 01, 2005 12:37 pm Post subject: Re: sshd: Invalid user test ... ->eine Chance geben? |
|
|
SinoTech wrote: | 76062563 wrote: | shiosai wrote: | Was haltet ihr denn von der Idee.. |
Nichts.
Was hast du davon? |
1. Spaß und ...
2. sieht man mal was so einer auf dem System macht
Mfg
Sino |
1. Das wird glaube ich ziemlich langweilig, weil
2. da nicht irgend ein Hacker "am anderen Ende" hängt, sondern ein Wurm.
Was also passieren wird ist das dieser Wurm deine IP irgenwohin meldet und versucht sich selber zu installieren, später versucht dann vielleicht irgend ein anderes Programm einen SMTP Server auf Deinem Rechner zu installieren (wharscheinlich idiotischerweise noch ein Windows Binary) um ihn als Spam Schleuder zu benutzen, oder anderer langweiliger Unsinn, wie daß Dein Rechner bei irgendwelchen DOS Angriffen als Bot mitmachen soll. Vielleicht passiert auch einfach garnichts, weil der Wurm schon Monatelang unterwegs ist und die IP an die er deine IP melden soll schon lange wegen "Abuse" gesperrt ist. Schlimmstenfalls installiert sich der Wurm und versucht von Deinem Rechner aus neue schlecht gesicherte ssh Accounts zu knacken und Dein Admin oder Netzbetreiber stellt Deinen Internet zugang wegen Mißbrauchs ab. (Sowas sieht man sehr schön, wenn ein Rechner auf einmal tausende ssh Verbindungen herstellen will).
Ich glaube nicht, daß Du an sowas viel Spaß haben würdest, also laß es lieber. |
|
Back to top |
|
|
|