XOR-Botnetz: Gekaperte Linux-Server feuern volle Breitseite

Ein Botnetz aus Linux-Servern aufzubauen, ist nicht ganz so alltäglich und einfach, wie eine entsprechende Infrastruktur aus normalen PCs. Doch wenn das Gebilde erst einmal steht, stellt es für geplante DDoS-Angriffen eine durchaus nicht zu ... mehr... Hacker, Angriff, Ddos, DERP Bildquelle: DERP/Twitter Hacker, Angriff, Ddos, DERP Hacker, Angriff, Ddos, DERP DERP/Twitter

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
SSH deaktivieren? Warum nicht gleich den Server runterfahren, dann kann noch weniger passieren...
 
@Zombiez: Deaktivieren würde ich den root login auch nicht unbedingt. SSH auf einen anderen Port legen und 99% dieser Bruteforce-Tools haben keine Angriffsfläche. Dann noch eine Verbindung ausschließlich per Zertifikat zulassen und der root Zugang darf bleiben :)

Für Personen die aber (noch) keine Ahnung haben und sich einen Linux Server Ihr eigenen nennen, ist das deaktivieren des root Accounts durchaus sinnvoll. Eigentlich sollten an Personen ohne Fachwissen ausschließlich Distributionen ausgeliefert werden, wo der root Account Standardmäßig deaktiviert ist. Hier ist meiner Meinung auch der Hoster / Anbieter in der Mithaftung und schuld an der Situation.
 
@battleck: Ein Remote-Login für produktive Server von außen sollte niemals für root möglich sein. Aus Sicherheitsgründen ist das extrem leichtsinnig. Man muss nur an Man-in-the-middle-Attacken denken. Wir nutzen für so etas einen SSH-Server auf den man sich verbinden kann und dann von dort aus wiederum auf die Server. Natürlich ist der SSH-Server extrem zugenagelt und nutzt andere Accounts als die Server. Ein root-Zugang auf den SSH-Server selbst ist von außen nicht möglich.
 
@Nunk-Junge: Veto. Wenn dich nacht nagios aus dem Schlaf klingelt, weil irgendwo die Platte vollläuft oder ein Dienst nicht mehr antwortet, kommst du ohne Root und SSH gar nicht weiter. Was nützt mir da ein einzelner Gatekeeper als SSH-Server wenn ich den gleichen Effekt erziele, indem ich einfach alle Server korrekt einrichte?
 
@xploit: Monitoring-Tools wie Nagios, ICinga oder ähnlich sind notwendig. Nicht notwendig ist aber ein direkter Root-Zugriff auf jeden einzelnen Server. Dazu sind die Angriffsvektoren zu vielfältig. Ein direkter Root-Zugriff aus dem Internet ist leichtsinnig.
 
@Nunk-Junge: Du hast nicht ganz verstanden, es geht nicht um Root-Zugriff für Nagios. Nagios ist dafür da, um mich darauf hinzuweisen, dass auf unseren Servern etwas nicht stimmt.. und um das zu beheben brauche ich Root-Zugriff.
 
@battleck: SSH-Zugang ungleich Root-Login, just saying ;)
 
@Zombiez: Es geht ja nicht darum, SSH komplett auszuschalten, sondern von Außen unerreichbar zu machen. Das ist durchaus möglich. Wer halt von einem Standort außerhalb des Firmennetzes per SSH an den Server will, muss halt erstmal per VPN nach Hause verbinden - so kenn ich das zumindest. Ist sicherlich etwas mehr Aufwand, aber so ist das ja bei dem Security-Kram ohnehin oft.
 
@Zombiez: Ah, also Holzhammer vs Skill. Auch 'ne Lösung... <eg>
 
Mehrere Lösungansätze:
- Kein root Zugang per SSH mit Passwort (Default in neuen Debian Versionen)
- Nur PublicKey Authentifizierung
- Fail2ban
- SSH Port ändern
- SSH nur über VPN

Die letzten zwei Sachen sind nicht mal wirklich nötig und man kann auch Schwierigkeiten bekommen, wenn der VPN Server mal nicht funktioniert.
Alles grundlegende Basics.
 
@ESmazter: sozusagen basic Basics... ;)
 
@ESmazter: vpn ist etwas übertrieben, port knocking
 
@lordfiSh: Hab mich auch mal wegen dem VPN ausgesperrt und lasse SSH nun an.
 
@ESmazter: Das ist einfach das typische "Linux"-Problem.

Admin XY hat da mal gehört, dass Linux sicher ist, also nimmt man Linux. Dass Linux nur so sicher ist, wie es konfiguriert wurde - das hat Admin XY aber nirgends gehört.

Also aufgesetzt, läuft und ward' nie mehr berührt.

In einem ordentlich "integrierten" System hätte man schon nach 10 fehlerhaften SSH-Logins bemerkt, dass da gerade wer anklopft.
 
@dognose: Das scheint mehr ein "Admin"-Problem zu sein.

Fail2ban und nagios sind da eine gute Kombo btw.
 
Admins die SSH per Passwort anbieten sind aus meiner Sicht auch keine Admins.. für sowas nimmt man Private-Public-Key-Auth. Der Aufwand ist kaum messbar größer.
 
Naja, wenn ich mir die ganzen Rootserver anschaue die bei Hetzner, Hosteurope und Co. stehen, da wird es doch schwierig ohne SSH an die Maschine zu gelangen.
 
Von wegen Linux ist sicher...
Dann doch lieber einen vernünftigen Windows Server mit IIS
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen