Donnerstag, 20. November 2014, 21:27 Uhr

Schutz vor SSH-Bruteforce-Attacken mit Fail2ban

Seit mehreren Jahren setze ich auf meinem aus dem Internet erreichbaren Linux-Server das Paket Fail2ban ein, um Brute-Force-Attacken auf den SSH-Daemon und passwortgeschützte Apache-Verzeichnisse zu verhindern.

Erst kürzlich habe ich dabei die Option aktiviert, dass mir jeder „banned host“ per E-Mail gemeldet wird:

/etc/fail2ban/jail.conf

...
destemail = name@domain.tld
sendername = Fail2Ban
sender = fail2ban@domain.tld
...
action = %(action_mwl)s
...

Indem man die Action von action_ auf action_mwl ändert, wird das E-Mail bei jeder verhinderten Attacke ausgelöst.

Auswertung

Eine äusserst rasche Auswertung der attackierenden Quell-IPs zeigt, dass China offenbar gross im Geschäft mit automatisierten Attacken gegen SSH ist. Die meisten geblockten Hosts stammen aus folgenden vier Subnetzen:

inetnum:        61.174.48.0 - 61.174.55.255
netname:        CHINANET-ZJ-HU
country:        CN
descr:          CHINANET-ZJ Huzhou node network
descr:          Zhejiang Telecom
admin-c:        CZ4-AP
tech-c:         CH119-AP
mnt-irt:        IRT-CHINANET-ZJ
status:         ALLOCATED NON-PORTABLE
changed:        15325819758@189.cn 20111231
mnt-by:         MAINT-CHINANET-ZJ
mnt-lower:      MAINT-CN-CHINANET-ZJ-HU
source:         APNIC
...
inetnum:        122.225.109.0 - 122.225.109.127
netname:        DINGQI-NETWORK-TECHNOLOGY
country:        CN
descr:          Shaoxing Dingqi Network Technology Co., Ltd.
descr:
admin-c:        JS2095-AP
tech-c:         CH119-AP
mnt-irt:        IRT-CHINANET-ZJ
status:         ASSIGNED NON-PORTABLE
changed:        auto-dbm@dcb.hz.zj.cn 20110707
mnt-by:         MAINT-CN-CHINANET-ZJ-HU
source:         APNIC
...
inetnum:        218.2.0.0 - 218.4.255.255
netname:        CHINANET-JS
descr:          CHINANET jiangsu province network
descr:          China Telecom
descr:          A12,Xin-Jie-Kou-Wai Street
descr:          Beijing 100088
country:        CN
admin-c:        CH93-AP
tech-c:         CJ186-AP
mnt-by:         MAINT-CHINANET
mnt-lower:      MAINT-CHINANET-JS
mnt-routes:     maint-chinanet-js
changed:        hostmaster@ns.chinanet.cn.net 20020209
changed:        hostmaster@ns.chinanet.cn.net 20030306
status:         ALLOCATED non-PORTABLE
source:         APNIC
...
inetnum:        222.184.0.0 - 222.191.255.255
netname:        CHINANET-JS
descr:          CHINANET jiangsu province network
descr:          China Telecom
descr:          A12,Xin-Jie-Kou-Wai Street
descr:          Beijing 100088
country:        CN
admin-c:        CH93-AP
tech-c:         CJ186-AP
mnt-by:         APNIC-HM
mnt-lower:      MAINT-CHINANET-JS
mnt-routes:     MAINT-CHINANET-JS
remarks:        This object can only modify by APNIC hostmaster
remarks:        If you wish to modify this object details please
remarks:        send email to hostmaster@apnic.net with your
remarks:        organisation account name in the subject line.
changed:        hm-changed@apnic.net 20040223
status:         ALLOCATED PORTABLE
source:         APNIC
...

Kann denen mal jemand die Stecker ziehen?

Tags: ,
Labels: IT

Kommentar erfassen