Jeg har hver eneste dag en masse login forsøg på min server (via SSH).
De sidste 2 dage har "fail2ban" desværre været slået fra, så automatiske scripts er ikke blevet banned, og må godt nok indrømme at jeg blev overrasket over omfanget da jeg kiggede logs igennem idag.
De fleste var håbløse forsøg på at logge ind på "root" eller "admin", men som noget helt nyt så jeg en masse forsøg på at logge ind som "bitcoin" (min server har bitcoind kørende). Nærmere bestemt var det 213.108.216.41 som prøvede at komme ind (og jeg er ikke den eneste ramte:
http://au.hive.sshhoneypot.com/iplog.php?ip=213.108.216.41).
Dette er bare en lille reminder, om at I skal passe på derude. Desværre viser det sig jo at man, stadig, kan komme langt med 4 enkelte passwords:
http://seclists.org/fulldisclosure/2013/Mar/166 og køre i bitcoind, så skal I nok forvente at være ekstra udsatte
Personligt har jeg:
* flyttet SSH porten væk fra 22
* startet fail2ban
Jeg overvejer stærkt at skifte over så man kun kan logge ind via "ssh keys" (men det er dog desværre ret besværligt vs bare at bruge en kodesætning).
(og selvfølgelig er min kodesætning stærk og jeg opbevarer så få bitcoins som muligt i min "hot wallet").
Hvis I har nogle tips og tricks til at køre en bitcoin server, så del dem gerne
Noen triks du kan bruke:
1. Lås mulige innlogginger til en bestemt ip. Logger du alltid inn fra f.eks. 234.344.44.44, så kan du låse ssh til å kun godta innlogginger fra denne ip, da ville innlogginger fra en annen ip bli nektet, selv om de måtte ha riktig brukernavn og passord. Vær imidlertidig forsiktig når du gjør dette, slik at du ikke stenger deg selv ute! haha. Prøv gjerne på en lokal maksin først, slik at du lærer deg hvordan du gjør det. Hint, les manualen.
2. Security through obscurity. Har du dynamic ip, så funker ikke tipset i 1, men da kan du lage en obskur bruker, f.eks. R3m0tes3rvrusrr3432455 og gi denne et vanskelig passord. Da må en evt. inntrenger først gjette brukernavnet, og deretter passordet, noe som er meget vanskelig.
Så lenge du har bra sikkerhet på din side, skal det noe til før dette kan kompromitteres, men kompromitteres di lokale pc, så kan det jo også hende at din remote ssh-server kan kompromitteres.
Det er riktig som du sier, at det er mye aktivitet ifht. å prøve å bryte seg inn. Folk kjører scripts og forsøke å logge på 1000-vis av servere, prøver de lenge nok vil de før eller siden lykkes. Det er omtrent som ungdom som løper rundt på en parkeringsplass og sjekker bildører. Før eller siden vil de finne en bil med ulåste dører.
