Bitcoin Forum
November 12, 2024, 01:37:22 AM *
News: Latest Bitcoin Core release: 28.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1]
  Print  
Author Topic: Pas på SSH logins fra 213.108.216.41  (Read 1180 times)
Nicolai (OP)
Newbie
*
Offline Offline

Activity: 39
Merit: 0



View Profile
March 28, 2013, 02:04:31 AM
 #1

Jeg har hver eneste dag en masse login forsøg på min server (via SSH).
De sidste 2 dage har "fail2ban" desværre været slået fra, så automatiske scripts er ikke blevet banned, og må godt nok indrømme at jeg blev overrasket over omfanget da jeg kiggede logs igennem idag.

De fleste var håbløse forsøg på at logge ind på "root" eller "admin", men som noget helt nyt så jeg en masse forsøg på at logge ind som "bitcoin" (min server har bitcoind kørende). Nærmere bestemt var det 213.108.216.41 som prøvede at komme ind (og jeg er ikke den eneste ramte: http://au.hive.sshhoneypot.com/iplog.php?ip=213.108.216.41).

Dette er bare en lille reminder, om at I skal passe på derude. Desværre viser det sig jo at man, stadig, kan komme langt med 4 enkelte passwords: http://seclists.org/fulldisclosure/2013/Mar/166 og køre i bitcoind, så skal I nok forvente at være ekstra udsatte Sad

Personligt har jeg:
 * flyttet SSH porten væk fra 22
 * startet fail2ban
Jeg overvejer stærkt at skifte over så man kun kan logge ind via "ssh keys" (men det er dog desværre ret besværligt vs bare at bruge en kodesætning).

(og selvfølgelig er min kodesætning stærk og jeg opbevarer så få bitcoins som muligt i min "hot wallet").

Hvis I har nogle tips og tricks til at køre en bitcoin server, så del dem gerne Smiley
Herodes
Hero Member
*****
Offline Offline

Activity: 868
Merit: 1000


View Profile
March 28, 2013, 12:15:38 PM
 #2

Jeg har hver eneste dag en masse login forsøg på min server (via SSH).
De sidste 2 dage har "fail2ban" desværre været slået fra, så automatiske scripts er ikke blevet banned, og må godt nok indrømme at jeg blev overrasket over omfanget da jeg kiggede logs igennem idag.

De fleste var håbløse forsøg på at logge ind på "root" eller "admin", men som noget helt nyt så jeg en masse forsøg på at logge ind som "bitcoin" (min server har bitcoind kørende). Nærmere bestemt var det 213.108.216.41 som prøvede at komme ind (og jeg er ikke den eneste ramte: http://au.hive.sshhoneypot.com/iplog.php?ip=213.108.216.41).

Dette er bare en lille reminder, om at I skal passe på derude. Desværre viser det sig jo at man, stadig, kan komme langt med 4 enkelte passwords: http://seclists.org/fulldisclosure/2013/Mar/166 og køre i bitcoind, så skal I nok forvente at være ekstra udsatte Sad

Personligt har jeg:
 * flyttet SSH porten væk fra 22
 * startet fail2ban
Jeg overvejer stærkt at skifte over så man kun kan logge ind via "ssh keys" (men det er dog desværre ret besværligt vs bare at bruge en kodesætning).

(og selvfølgelig er min kodesætning stærk og jeg opbevarer så få bitcoins som muligt i min "hot wallet").

Hvis I har nogle tips og tricks til at køre en bitcoin server, så del dem gerne Smiley


Noen triks du kan bruke:

1. Lås mulige innlogginger til en bestemt ip. Logger du alltid inn fra f.eks. 234.344.44.44, så kan du låse ssh til å kun godta innlogginger fra denne ip, da ville innlogginger fra en annen ip bli nektet, selv om de måtte ha riktig brukernavn og passord. Vær imidlertidig forsiktig når du gjør dette, slik at du ikke stenger deg selv ute! haha. Prøv gjerne på en lokal maksin først, slik at du lærer deg hvordan du gjør det. Hint, les manualen.

2. Security through obscurity. Har du dynamic ip, så funker ikke tipset i 1, men da kan du lage en obskur bruker, f.eks. R3m0tes3rvrusrr3432455 og gi denne et vanskelig passord. Da må en evt. inntrenger først gjette brukernavnet, og deretter passordet, noe som er meget vanskelig.

Så lenge du har bra sikkerhet på din side, skal det noe til før dette kan kompromitteres, men kompromitteres di lokale pc, så kan det jo også hende at din remote ssh-server kan kompromitteres.

Det er riktig som du sier, at det er mye aktivitet ifht. å prøve å bryte seg inn. Folk kjører scripts og forsøke å logge på 1000-vis av servere, prøver de lenge nok vil de før eller siden lykkes. Det er omtrent som ungdom som løper rundt på en parkeringsplass og sjekker bildører. Før eller siden vil de finne en bil med ulåste dører.
kingcoin
Sr. Member
****
Offline Offline

Activity: 262
Merit: 250


View Profile
March 28, 2013, 06:15:03 PM
 #3

Jeg overvejer stærkt at skifte over så man kun kan logge ind via "ssh keys" (men det er dog desværre ret besværligt vs bare at bruge en kodesætning).

Det er ganske lenge siden jeg satt opp sshd til å bruke passord.

Det er utrolig mye enklere med nøkler også. Man kan kontrollere enkeltvis hvilken nøkler som får tilgang og enkelt fjerne én nøkkel dersom en laptop blir stjålet e.l.
Herodes
Hero Member
*****
Offline Offline

Activity: 868
Merit: 1000


View Profile
March 28, 2013, 06:36:01 PM
 #4

Jeg overvejer stærkt at skifte over så man kun kan logge ind via "ssh keys" (men det er dog desværre ret besværligt vs bare at bruge en kodesætning).

Det er ganske lenge siden jeg satt opp sshd til å bruke passord.

Det er utrolig mye enklere med nøkler også. Man kan kontrollere enkeltvis hvilken nøkler som får tilgang og enkelt fjerne én nøkkel dersom en laptop blir stjålet e.l.


I tillegg kan man vel ha en nøkkel hengende i et usb-halsskjede også ?
kingcoin
Sr. Member
****
Offline Offline

Activity: 262
Merit: 250


View Profile
March 28, 2013, 07:18:19 PM
 #5

I tillegg kan man vel ha en nøkkel hengende i et usb-halsskjede også ?

Det kan man godt gjøre hvis man ønsker det. Man må bare peke på denne med ssh -i når man skal logge inn.
kingcoin
Sr. Member
****
Offline Offline

Activity: 262
Merit: 250


View Profile
March 28, 2013, 07:20:38 PM
 #6

I tillegg så kan man bruke ssh-agent så slipper man å taste passphrase hele tiden hvis man skal kjøre mye scp og ssh i en periode. Selvsagt avslutter man denne hvis man går i fra maskinen.
Nicolai (OP)
Newbie
*
Offline Offline

Activity: 39
Merit: 0



View Profile
March 29, 2013, 12:52:06 AM
 #7

Herodes: Min sikkerhed i forhold til kodeord/lokal pc ikke bliver infekseret osv burde være iorden, så det er jeg ikke så bange for Smiley Dette var bare første gang at jeg ser login forsøg med brugernavnet "bitcoin" (kan forestille mig at der kommer mange flere i fremtiden :/ )

Låsen på min bil været i stykker i snart 1 år, og overraskende nok har ingen stjålet noget endnu, ikke at der ligger noget i den som er værd at stjæle, men den har trods alt stået ulåst i snart 1 år og har ingen startspærre eller alarm, så man skulle da tro at der snart var nogen der gad tage den (ellers dør den til syn næste år Tongue ).
Herodes
Hero Member
*****
Offline Offline

Activity: 868
Merit: 1000


View Profile
March 29, 2013, 11:47:15 AM
 #8

Herodes: Min sikkerhed i forhold til kodeord/lokal pc ikke bliver infekseret osv burde være iorden, så det er jeg ikke så bange for Smiley Dette var bare første gang at jeg ser login forsøg med brugernavnet "bitcoin" (kan forestille mig at der kommer mange flere i fremtiden :/ )

Låsen på min bil været i stykker i snart 1 år, og overraskende nok har ingen stjålet noget endnu, ikke at der ligger noget i den som er værd at stjæle, men den har trods alt stået ulåst i snart 1 år og har ingen startspærre eller alarm, så man skulle da tro at der snart var nogen der gad tage den (ellers dør den til syn næste år Tongue ).

Det kommer nok litt ann på hvor bilen står også, parkerer du den i et belastet nabolag, så forsvinner den nok hurtigere. Jeg har sett mye bitcoin-relaterte innloggingsforsøk og hackingforsøk på mine servere, det er slik det er å ha en server online.
helgur
Newbie
*
Offline Offline

Activity: 31
Merit: 0


View Profile
April 23, 2013, 11:29:05 PM
 #9

OTP

nuff said
Herodes
Hero Member
*****
Offline Offline

Activity: 868
Merit: 1000


View Profile
April 24, 2013, 01:33:45 PM
 #10

OTP

nuff said

Quote
A one-time password (OTP) is a password that is valid for only one login session or transaction. OTPs avoid a number of shortcomings that are associated with traditional (static) passwords. The most important shortcoming that is addressed by OTPs is that, in contrast to static passwords, they are not vulnerable to replay attacks. This means that a potential intruder who manages to record an OTP that was already used to log into a service or to conduct a transaction will not be able to abuse it, since it will be no longer valid. On the downside, OTPs are difficult for human beings to memorize. Therefore they require additional technology to work.

Source: http://en.wikipedia.org/wiki/One-time_password

helgur, kan du utypde nærmere hvordan du bruker OTP i praksis. Sikkert flere som er interessert i å høre om dine erfaringer med dette.
helgur
Newbie
*
Offline Offline

Activity: 31
Merit: 0


View Profile
April 28, 2013, 03:40:41 AM
Last edit: April 28, 2013, 08:03:31 AM by helgur
 #11

OTP

nuff said

Quote
A one-time password (OTP) is a password that is valid for only one login session or transaction. OTPs avoid a number of shortcomings that are associated with traditional (static) passwords. The most important shortcoming that is addressed by OTPs is that, in contrast to static passwords, they are not vulnerable to replay attacks. This means that a potential intruder who manages to record an OTP that was already used to log into a service or to conduct a transaction will not be able to abuse it, since it will be no longer valid. On the downside, OTPs are difficult for human beings to memorize. Therefore they require additional technology to work.

Source: http://en.wikipedia.org/wiki/One-time_password

helgur, kan du utypde nærmere hvordan du bruker OTP i praksis. Sikkert flere som er interessert i å høre om dine erfaringer med dette.

Kjører pam_opie på debian boksen, denne genererer en liste med OTP man må logge inn med. Listen bevarer man et sted trygt, f.eks på mobiltelefonen e.l, man kan også generere OTP direkte for hver innlogging med opiekey. Har også kjørt opie på freebsd boksen min hjemme den gang jeg hadde SSH shell tilgang der. Rimelig trivielt å sette det opp på begge systemene. For debian:

'sudo apt-get install libpam-opie'

Denne konfigureres så i to trinn, et for fjernstyrte innlogginger vha SSH og et for lokal autentisering via sudo. For å initialisere OPIE taster man 'opiepasswd -c -f' med den respektive brukeren man ønsker å sette opp OTP med. Med denne kommandoen må OTP genereres for hver innlogging via opiekey. Ønsker man å bruke en statisk passordliste er kommandoen 'opiekey -n 5 30 zz99999' hvor zz99999 er nøkkelen

For mer info se her: http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/one-time-passwords.html
Pages: [1]
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!