1. Mike Page Member

    Brute force attack

    Topic geplaatst op: 08-12-2011 om 00:57

    Beste Versio Community,

    Graag zou ik een vraag willen voorleggen over de vele Brute Force attacks welke gelogd worden met een VPS server.
    Bestaat hier hardware voor om de te voorkomen, aangezien deze attacks ongeveer een paar 100x per maand voorkomen baart het mij wat zorgen dat hiermee ooit succes wordt geboekt.

    Zo is ook te lezen in het laatste nieuws dat er anti-DDOS-hardware is geplaatst, geldt dit ook voor de VPS of enkel voor Shared Hosting. Ik ben opzoek naar een zo stabiel mogelijk platform met ssh toegang, vandaar ook de keuze voor VPS.

    Ik vraag me enkel af of deze DDOS en Brute Force Attack bescherming mogelijk is voor VPS, of dat ik het beste uit ben met een 100% uptime pakket. Ik neem aan dat deze wel op cloud basis gehost is en de VPS slechts op 1 server staat.

    Heel graag hoor ik het, alvast bedankt.

    Groeten Mike

  2. zwerfkat Member
    Reactie geplaatst op: 08-12-2011 om 09:44

    Hoi Mike,

    Een Brute Force Attack is iets anders dan een DDOS aanval. Bij een BFD probeert een server in te loggen op jouw SSH, mail account, PHPadmin, SQL-data base etc. met steeds wisselende gebruikersnamen en wachtwoorden. Deze voorgeprogrammeerde servers gaan hier net zo lang mee door totdat het een keer raak is. Vaak zie je dat er zo'n 3 x per seconde een inbraakpoging wordt gedaan. Dat is 3 * 60 * 60 * 24 = meer dan 250 duizend keer per etmaal! En dat geldt dan nog maar voor 1 IP-adres. Mijn firewall blokkeert een paar keer per dag zo'n IP-adres, dus je kunt nagaan hoe hard er op je voordeur van je VPS wordt gebonsd!

    Moraal van het verhaal: een VPS draaien zonder firewall is vragen om grote moeilijkheden. Een dergelijke firewall is gewoon een software programmaatje. Je kunt dan instellen welke poorten je open wilt hebben, en na hoeveel mislukte inlogpogingen een IP-adres geblokkeerd wordt.

    Zelf gebruik ik apf en bfd van http://www.rfxn.com/projects/ Maar er zijn diverse andere gratis firewalls te krijgen zoals CSF, even Googlen op: "DirectAdmin best firewall".

    Tip: de meeste aanvallen zijn gericht op SSH met als gebruiker root. Ik laat mijn firewall de gebruiker root dan ook blokkeren en heb een nieuwe gebruiker aangemaakt met root-rechten onder een andere naam.

    Bij een DDOS wordt vanuit verschillende IP-adressen in een zeer hoog tempo bestaande pagina's van je web site geladen. Met als bedoeling om de server over te belasten. Een firewall kan hier niets tegen beginnen, het zijn gewoon legale verzoeken. Voor grote aanvallen heeft Versio zich beschermd, maar het is de vraag of een kleinere DDOS aanval gericht op een specifieke VPS wordt opgemerkt. Voor de zekerheid heb ik dan ook een anti-DDOS script draaien (zie http://deflate.medialayer.com/), maar tot nu toe is er nog niets gedetecteerd.

    Het hebben van een 100% up-pakket doet hier allemaal niets aan af volgens mij, bij een VPS ben je zelf verantwoordelijk voor de beveiliging. Maar misschien dat Version een firewall voor je installeert als je een onderhoudscontract hebt afgesloten, geen idee.

    Vond u dit antwoord nuttig?

  3. RdV Member
    Reactie geplaatst op: 08-12-2011 om 12:12

    Het eenvoudigste is om de betreffende services niet te laten zien aan de buitenwereld. Ik heb via iptables enkel het externe IP adres voor beheer aangezet voor de service SSH. Voor de rest van de wereld is de ssh service niet aanwezig. iptables ziet er bijvoorbeeld dan zo uit:


    Chain INPUT (policy ACCEPT)
    target prot opt source destination
    ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
    ACCEPT icmp -- anywhere anywhere
    ACCEPT all -- anywhere anywhere
    ACCEPT tcp -- my_ip_address_here anywhere state NEW tcp dpt:ssh
    ACCEPT tcp -- my_ip_address_here anywhere state NEW tcp dpt:mysql
    ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http
    ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:https
    REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination
    REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination

    Vond u dit antwoord nuttig?

  4. zwerfkat Member
    Reactie geplaatst op: 08-12-2011 om 13:39

    @Ruben: Dat is inderdaad een mooie oplossing als je vanaf een vast IP-adres werkt. Zelf wil ik vanuit verschillende werkplekken, en ook vanaf bijvoorbeeld een vakantie-adres, kunnen inloggen. Ook heb ik thuis een dynamisch IP-adres van Ziggo, is de afgelopen maanden al meerdere keren gewijzigd. En als je dan niet uitkijkt ben je zomaar je SSH verbinding kwijt en kun je de support van Versio gaan bellen om het weer recht te trekken.

    Daarom heb ik in de "File Editor" van DirectAdmin ook de configuratiebestanden van mijn firewall en SSH, en ook de files host.deny en host.allow opgenomen, als achterdeurtje mocht mijn IP-adres per ongeluk geblokkeerd raken.

    Een andere mogelijkheid is om SSH op een andere poort te laten draaien, dat doe ik bij mijn SSH-server op mijn router thuis.

    Nou ja, genoeg mogelijkheden om "inbrekers" te weren.

    Vond u dit antwoord nuttig?

  5. remcok Member
    Reactie geplaatst op: 08-12-2011 om 14:53

    De firewall dichtzetten en alleen je eigen IP adressen openzetten, zodat SSH bijvoorbeeld alleen voor jouw openstaat is wat mij betreft een heel beperkte oplossing.
    Als je IP adres thuis wijzigd (en die kans bestaat, over het algemeen) heb je jezelf onherroepelijk uitgesloten van je eigen server. Handig... not.

    Wat veel beter en flexibeler werkt is wel het gebruiken van IPTables van Linux, op voorhand niets dichtzetten, maar Fail2Ban gaan gebruiken.
    Fail2Ban herkend via b.v. logfiles van SSH dat IP adres X probeerde in te loggen. Na 3x kan Fail2Ban *automatisch* IP adres X voor 24 uur geheel blokken door die in IPTables in te vullen.
    Wanneer Fail2Ban aanslaat, is instelbaar, evenals de lengte van de ban. En er kan nog veel meer.
    Ik gebruik dit op diverse servers en werkt prima.

    Vond u dit antwoord nuttig?

  6. RayHammer Member
    Reactie geplaatst op: 08-12-2011 om 15:16

    DoS Deflate staat er bij mij op, maar toch is mijn VPS vandaag al heel de dag down.

    Vond u dit antwoord nuttig?

  7. RdV Member
    Reactie geplaatst op: 08-12-2011 om 20:13

    Dames en heren, je kunt ALTIJD via de console (serial) bij je machine komen (mits machine draait natuurlijk en console access toelaat). Gewoon via het Versio Control Panel.

    En om het af te toppen, je kunt OOK via versio een ssh brug naar serial doen. Als je via het Control Panel een connectie maakt, zie je gebruikersnaam, wachtwoord en IP. Noteer deze gegevens, en vervolgens kun je zelf met dezelfde gebruikersnaam:wachtwoord@IP via ssh connecten. In theorie hoef je dan helemaal geen SSH open te hebben staan in de firewall op je machine. Ik denk dat scp niet werkt over deze brug. Maar goed, je kunt dus ALTIJD bij je machine, zelfs met dynamische IP - geen vrees.

    Vond u dit antwoord nuttig?

  8. RdV Member
    Reactie geplaatst op: 08-12-2011 om 22:04

    10 minuten geleden (donderdag 8 dec, 21:50CET) ook weer mijn VPS twee maal moeten opstarten. Het begint nu wel vervelend te worden. Er is geen aanval op mijn VPS, maar wel op de host. Fijn dat mijn VPS wordt gekilled. Node = vpsnode17

    Vond u dit antwoord nuttig?

  9. RdV Member
    Reactie geplaatst op: 08-12-2011 om 22:22

    Hier een artikel, die beschrijft dat het probleem ook aan de kant van Versio kan zitten: een klant die misschien een VPS misbruikt voor illegale doeleinden.

    http://www.pc-freak.net/blog/how-to-find-and-kill-abusers-on-openvz-linux-hosted-virtual-machines-few-bash-scripts-to-protect-openvz-centos-server-from-script-kiddies-and-easify-the-daily-admin-job/

    Vond u dit antwoord nuttig?

  10. RdV Member
    Reactie geplaatst op: 08-12-2011 om 22:26

    Via serial console, zie ik nu ineens langskomen:


    Broadcast message from root (pts/0) (Thu Dec 8 22:19:23 2011):

    The system is going down for reboot NOW!

    Fraai, een reboot! En de machine komt dus niet automatisch op.

    Vond u dit antwoord nuttig?

  11. RdV Member
    Reactie geplaatst op: 09-12-2011 om 21:55

    Als je helemaal los wilt in iptables, kun je deze eens proberen:
    http://www.hermann-uwe.de/files/fw_laptop

    Ik denk dat je daarmee aan het maximum zit wat je software matig kan doen tegen een DDoS attack. Daarboven werkt enkel hardware protectie nog maar, gewoon omdat de vereiste CPU power dan te beperkt is.

    Vond u dit antwoord nuttig?

  12. Mike Page Member
    Reactie geplaatst op: 10-12-2011 om 11:08

    Hartelijk dank voor deze informatie.
    Ik ga zeker de firewall installeren/beter instellen.

    Die IP tables zijn ook bij mij te dynamisch, echter denk ik dat een secure proxy dit zou kunnen verhelpen.

    Vond u dit antwoord nuttig?

  13. Wim Gijbels Member
    Reactie geplaatst op: 07-02-2012 om 11:26

    Er zijn volgens mij afdoende maatregelen (software) te nemen tegen ddos aanvallen.

    Vond u dit antwoord nuttig?

  14. Arjan Van Lent Member
    Reactie geplaatst op: 07-10-2012 om 23:51

    Nog wat handige tips:
    Installeer een prive PageKite server op je VPS en hang er een hostname of ip+hostname aan. Vervolgens kan je dan dynamische services aanmaken zoals bv. een ssh server op je laptop. Ook kan je daarmee de ssh server op je VPS hosten en in je firewall aangeven uitsluitend aanvragen op je dynamische url door te laten.
    http://pagekite.net

    CloudFlare is een gratis dienst waarmee je extra beveiliging tegen oa DDOS aanvallen aan je servertje kan toevoegen door je DNS om te leiden via het CloudFlare netwerk. CF is een reverse-proxy systeem en super simpel in gebruik. Ook zijn er diverse plug-ins voor oa Drupal en Wordpress voor betere prestaties.
    http://www.cloudflare.com

    Nog een leuke service is Dome9. Dit is een gratis firewall applicatie voor cloud servers waarmee je de firewall voor je complete cloud kan beheren vanuit 1 interface. http://www.dome9.com

    Groeten, Arjan

    Vond u dit antwoord nuttig?

  15. Arjan Van Lent Member
    Reactie geplaatst op: 08-10-2012 om 00:08

    Nog een tip wat de ssh brute-force attacks betreft;

    Een hele simpele oplossing is simpelweg in je sshd.conf het port nummer waarop ssh actief is aan te passen. Gebruik hiervoor een poort onder de 1024 want 1024+ is gevoelig voor man in the middle attacks.
    Ook is het gebruik van ssh keys aan te raden en RSA keys als enige authenticatie mogelijkheid aan te geven in je config.
    En zoals eerder al genoemd werd is het ook erg slim om root logins via ssh te verbieden. Daarnaast zijn er nog enkele namen die je beter kan vermijden omdat ze door vrijwel alle scripts gebruikt worden.
    root, oracle, test, user, user1, ubuntu, admin, administrator

    Nog een belangrijk aandachtspunt is je MySQL database server. Deze word standaard in veel distributies (bv. Ubuntu) niet bepaald met optimale veiligheidsopties geinstalleerd. Dit kan je echter wel gemakkelijk veiliger maken door; # (sudo) mysql_secure_installation
    uit te voeren. Let wel op wanneer je een root wachtwoord opgeeft want het zou kunnen dat je apps hebt die de root account van SQL gebruiken en dus het wachtwoord nodig gaan hebben om verbinding te kunnen maken. Veel apps maken echter tijdens de installatie een eigen DB gebruiker aan dus ondervinden geen hinder.

    Vond u dit antwoord nuttig?

  16. Ruben Visser Member
    Reactie geplaatst op: 14-10-2012 om 10:26

    He Mike,

    Brute force is alleen mogelijk als aanvallers oneindig veel mogelijkheden hebben (en alle tijd van de wereld) om jou user/wachtwoord combinatie te raden.

    Mijn advies: http://denyhosts.sourceforge.net/
    Gebruik alleen public key toegang en gebruik naast een lange public key (ik gebruik 8900 bytes) een wachtwoord op je certificaat (two step authentication)
    Jail klanten / andere gebruikers.

    Gr. Ruben Visser

    Vond u dit antwoord nuttig?

  17. Gabor Korf Member
    Reactie geplaatst op: 18-03-2013 om 22:19

    Na 5 min dat direct admin klaar was met de installatie en net vandaag opgeleverde cloudbox heb ik nu al volop te maken met DDOS aanvallen... pff vraag ik lees hier en daar op de poort aan te passen. ik gebruik Putty + centos6.2 kan iemand mij vertellen hoe dit te doen want de opties die er staan lijken niet te werken nog. alvast bedankt!!

    Vond u dit antwoord nuttig?