Een eigen server, maar veel colporteurs aan de deur…
Een eigen web server is leuk. Elke dag stuurt hij mij automatisch een emailtje met zijn actuele gezondheidsstatus. Niet dat ik dat echt nodig heb. De webserver is ook emailserver en als de email niet binnenkomt wordt het tijd om eens te kijken of er problemen met het beestje zijn. Maar in de logfile wordt ook vermeld welke inbraakpogingen hackers hebben ondernomen.
Meestal zijn het een handjevol inbraken per dag, maar enkele dagen geleden had ik iemand die meer dan 700 gebruikersnamen en wachtwoorden uitprobeerde om binnen te komen. Het is uiteraard niet gelukt, daarvoor is mijn keuze van gebruikersnamen en wachtwoorden te sterk, maar het geeft wel aan dat het één grote anarchie is op het internet. Terwijl vele gebruikers achteloos van de ene naar de andere website surfen vliegen over dezelfde lijnen duizenden inbraakpogingen per seconde van het ene naar het andere werelddeel. Want de inbraken komen van overal. Het Chinese en Koreaanse vasteland is berucht, maar ik heb ook al pogingen van inbraak gehad uit landen als Paraguay en Noorwegen.
Eenvoudig de boel dichtzetten en alleen vanaf mijn Nederlandse PC een verbinding toestaan is geen optie. Ik ben een mobiele wereldreiziger en ook in Kazachstan heb ik geen vast IP adres. Grote blokken zoals China, de Philipijnen en Korea heb ik wel dichtgezet, maar er blijven nog voldoende open IP blokken mogelijk waarvandaan de aanval geopend kan worden.
Rudimentaire besturingssystemen zoals Windows hebben de mogelijkheid om het inlogproces voor een bepaalde tijd te blokkeren wanneer teveel foutieve aanmeldpogingen zijn gedaan. Ik had verwacht dat SSH voor Linux dat ook zou kunnen maar dat blijkt niet zo te zijn. Om van die dagelijkse lange logfiles met inbraakpogingen af te komen heb ik daarom mijn toevlucht gezocht tot het speciaal daarvoor ontwikkelde programmaatje fail2ban. Dit administratiescript checkt periodiek de inhoud van systeemlogfiles op inlogfouten van ondermeer SSH en FTP. Wanneer vanaf een IP adres teveel foutieve pogingen ondernomen worden, dan wordt dat IP adres tijdelijk of permanent geblokt. Ik heb het geheel nu geïnstalleerd en zal de komende tijd eens zien of het aantal inbraakpogingen inderdaad afneemt.
Helemaal eenzaam zal ik op mijn server denk ik niet worden. Er blijven altijd wel colporteurs die ondanks de Nee-Nee sticker op de brievenbus toch zullen proberen een voet tussen de deur te krijgen.
En werkt dat programmatje fail2ban? we hebben hetzelfde probleem
de server gaat heel vaak down en de logfiles staan vol met pogingen om in te loggen.
Grt
Serge
Reactie door Serge — 7 Apr 2006 @ 7:37
Ja, fail2ban werkt. Het stuurt mij emailtjes wanneer er een inbraakpoging is en plaatst het bijbehorende IP adres automatisch in een bloklijst. Bij mij is dat hosts.deny waarmee alleen ssh geblokkeerd wordt, maar je kunt ook een regel naar de linux iptables firewall schrijven om alle pakketten van dat IP adres te blokkeren. Een geblokkeerd IP adres wordt na een zelf in te stellen tijd automatisch weer vrij gezet, want stel je voor dat je zelf een paar keer met een fout wachtwoord aanmeldt en de server laat toegang vanaf je eigen IP adres niet meer toe
Vanochtend had ik weer een emailtje van fail2ban dat er een IP adres is geblokkeerd. Na de installatie is het aantal inbraakpogingen trouwens behoorlijk afgenomen. Zodra een hacker merkt dat hij geen verbinding meer kan krijgen schrapt hij waarschijnlijk het server adres van zijn lijst en zoekt een volgend slachtoffer.
Reactie door lammert — 7 Apr 2006 @ 9:43