# sshd: Invalid user test ... ->eine Chance geben?

## shiosai

Hallo,

ich habe auf meinem Server seit kurzem sshd mit Standardport am Laufen um von der Uni auf ihn zuzugreifen. Die Authentifizierung läuft über rsa Schlüssel, so dass das ganze doch eigentlich recht sicher sein sollte.

Jetzt kommt es nur zu den scheinbar normalen Einträgen, wie versucht wird mit Standardnamen Zugriff auf das System zu erlangen.

Weil ich das recht interessant finde, habe ich mir gedacht mal einen user test mit dem passwort test zu erstellen und hierfür die Authentifizierung zu ändern, so dass der arme Wurm oder was auch immer am andern Ende lauert  mal einen Erfolg hat und ich dann mal schauen kann, was die so anstellen wollen. Natürlich müsste man den entsprechenden User gut beschneiden und überwachen, damit nichts passiert.

Was haltet ihr denn von der Idee..  und auf was müsste man achten, damit das ganze trotzdem entsprechend sicher bleibt?

Oder ist das ganze eh extrem unspektakulär und tausendmal im Web nachzulesen?

----------

## nic0000

 *shiosai wrote:*   

> 
> 
> Weil ich das recht interessant finde, habe ich mir gedacht mal einen user test mit dem passwort test zu erstellen und hierfür die Authentifizierung zu ändern, so dass der arme Wurm oder was auch immer am andern Ende lauert  mal einen Erfolg hat und ich dann mal schauen kann, was die so anstellen wollen. Natürlich müsste man den entsprechenden User gut beschneiden und überwachen, damit nichts passiert.

 

Ich glaube du suchst nach einem "honeypot"

 *shiosai wrote:*   

> Was haltet ihr denn von der Idee..  und auf was müsste man achten, damit das ganze trotzdem entsprechend sicher bleibt?
> 
> Oder ist das ganze eh extrem unspektakulär und tausendmal im Web nachzulesen?

 

Also ich finde die Idee gut, allerdings habe ich keine Ahnung davon wie es gemacht wird. Ich habe vor langer Zeit mal etwas darüber gelesen aber nie wirklich umgesetzt.

grüße

nico

----------

## gordin

Ich würde das nicht unbedingt als honeypot bezeichnen, da damit ein ganzer Dienst oder sogar ein ganzer Server simuliert wird, nicht ein einzelner Zugang in einem bestehenden Dienst.

Ich sehe die Idee, einen einzelnen User als fake in einem ansonsten produktiven System freizuschalten, eher kritisch.

Selbst wenn du den potentiellen Angreifer per chroot stark einschränkst, so hat er doch Zugriff auf den Dienst. Wenn es ihm gelingt, irgendwie den Dienst zu komprimitieren, Serverlast zu verusachen etc. schlägt das sofort durch auf die anderen User.

Schon eher praktikabel erscheint mir da einen eigenen SSH-Server nur für diese Aufgabe zu starten... evtl. den bestehenden auf einen anderen Port legen (wenn möglich), da die Angriffe doch sehr automatisiert auf port 22 gefahren werden (was dann einem honeypot entspricht).

Oder halt direkt ein eigener Server vor die firewall, der nur für Angriffe zuständig ist (ich kenne jetzt natürlich deine Netzwerktopologie nicht)

----------

## SinoTech

Evtl. dem Angreifer "screen" als login shell zur Verfügung stellen. Das unterstützt auch den Multi-user mode in dem du den Angreifer dann schön beobvachten könntest  :Wink: .

Mfg

Sino

----------

## 76062563

 *shiosai wrote:*   

> Was haltet ihr denn von der Idee.. 

 

Nichts.

Was hast du davon?

----------

## SinoTech

 *76062563 wrote:*   

>  *shiosai wrote:*   Was haltet ihr denn von der Idee..  
> 
> Nichts.
> 
> Was hast du davon?

 

1. Spaß und ...

2. sieht man mal was so einer auf dem System  macht

Mfg

Sino

----------

## 76062563

Sich selbst potentielle Sicherheitslöcher ins System zu bauen empfinde ich persönlich irgendwie nicht als Spaß   :Smile: 

Was wird er schon machen? Irgendwie versuchen root zu kriegen, was ihm vermutlich nicht gelingen wird...

----------

## ChrisM87

Hi,

die Idee mit dem Fakeuser ist zwar lustig, kann aber schnell gefährlich werden.

Mach lieber wie oben schon empfohlen den echten sshd auf einen anderen Port, z.B. 222, und einen Honeypot auf 22.

ChrisM

----------

## slick

Also wenn ihr wirklich sowas machen wollt, alten Rechner nehmen und daneben stellen, paar Dummy-Dienste darauf installieren (so als wäre das der ultra-konkrete-mittelpunkt des LANs), über NAT und Umleitung den 22 transparent auf den alten Rechner legen und dort den Testuser einrichten. Wenns zu bunt wird die Kiste ausmachen bzw. Portumleitung aufheben und auf Änderungen untersuchen.

----------

## gordin

Das Problem grundsätzlich bei so Sachen ist, dass man einfach damit rechnen muss das der Angreifer mehr drauf hat als man selbst... oder einfach so unvorhergesehene Dinge tut/tun kann.

edit: OT aber evtl. interessant wegen des urspünglichen Posts betreffend Angriff auf ssh ist http://denyhosts.sourceforge.net/

----------

## mkr

Falls man so etwas macht, sollte man folgendes beachten:

- nicht das Produktivsystem "hackbar machen", sondern eine seperate Maschine (virtuell ginge auch, am besten aber das Testsystem hardwaremässig von der Produktivumgebung trennen)

- den Server in ein seperates Netzsegment stellen, von wo er keinen Zugriff auf das LAN hat

- Verbindungen des Servers nach aussen sollten wenn möglich verhindert werden; wenn man aber überhaupt keine Verbindungen nach aussen zulässt, wird der Angreifer bald das Interesse am System verlieren. Deshalb besser die verfügbare Bandbreite beschränken, besonders auf den Ports 22 (wegen SSH-Scanning) und 25 (wegen Spamversand).

Ich habe mal einen Rechner so laufen lassen und schon nach kurzer Zeit hatte ich einen Gast. Entweder war es ein Script oder ein nicht sehr erfahrener "Hacker". Er versuchte über ein Rootkit für ältere 2.4er Kernel auf meinem 2.6er Kernel Rootrechte zu erlangen. Als das nicht funktioniert hat, installierte er einen IRC-Bot. Dieser nahm eine Verbindung zu einem IRC-Server in Finnland auf und wartete auf Befehle. Diese bekam er bald und mein Server begann, bei bestimmten IP-Adressen SSH-Brute-Force-Attacken durchzuführen. Dies merkte ich nicht sofort (war nicht am Rechner) und so liefen die Attacken ein paar Stunden, bis ich den Server vom Netz nahm. Als Folge darauf bekam ich von meinem Provider am nächsten Tag eine Mail, von meiner IP aus seien Attacken gemeldet worden. Ich solle die Attacken unterbinden und innerhalb von 12 Stunden mitteilen, welche Massnahmen ich gegen deren erneutes auftreten unternommen habe, sonst werde mein Zugang gesperrt. Ich erklärte dem ISP die Sache und der bat mich, in Zukunft solche Experimente nicht mehr ohne Massnahmen gegen Angriffe auf unbeteiligte Dritte durchzuführen. Deshalb auch meine Empfehlung bezüglich Rate-Limiting.

----------

## ank666

Man kann SSH auch im chroot Modus laufen lassen (USE="+chroot") dann ist der Test-User schon mal eingesperrt und hat nur die Kommandos zur Verfügung die man ihm eben in seinem Rootjail gewährt bzw. bereit gestellt hat.

----------

## Freiburg

chroots haben die Angewohnheit nicht ganz so sicher zu sein wie man glaub, also lieber vorsichtig sein...

----------

## shiosai

Vielen Dank für die umfangreichen Antworten,

nachdem ich mir alles durchgelesen und abgewogen habe,bin ich zu dem Schluss gekommen, dass es wohl doch nciht so einfach ist wie ich es mir vorgestellt habe. Auf jeden Fall wenn ich alle vorgeschlagenen Sicherheitsvorkehrungen treffe, von denen ich hier manche auf Grund der Struktur des Netzes und auch fehlender Hardware gar nicht durchführen kann. Scheinbar bleiben spektakuläre Erfahrungsgewinne  auch eher aus. Deshalb werde ich wahrscheinlich fürs erste davon absehen.

Da ich aber daran arbeite, meinen PC in diversen Punkten "intelligenter" zu machen, werde ich auf Dauer aber nicht darum herumkommen ihn der bösen Welt da draußen zu öffnen um zu schauen wie er sich durchsetzen kann   :Rolling Eyes: 

----------

## nic0000

 *shiosai wrote:*   

> Scheinbar bleiben spektakuläre Erfahrungsgewinne  auch eher aus. Deshalb werde ich wahrscheinlich fürs erste davon absehen.

 

Hehe

naja, wenn du für jemanden eine "Falle" baust der mit Bruteforce in dein System einbrechen will, dann kannst du ja nur einem Idioten bei der Arbeit zuschauen  :Wink: 

Anderseits so etwas umzusetzen führt dich in die tiefen des Systems. Du kannst auf jeden fall viel über das System lernen. Das kann schon mal nichts schaden.

grüße

nico

----------

## furanku

 *SinoTech wrote:*   

>  *76062563 wrote:*    *shiosai wrote:*   Was haltet ihr denn von der Idee..  
> 
> Nichts.
> 
> Was hast du davon? 
> ...

 

1. Das wird glaube ich ziemlich langweilig, weil

2. da nicht irgend ein Hacker "am anderen Ende" hängt, sondern ein Wurm.

Was also passieren wird ist das dieser Wurm deine IP irgenwohin meldet und versucht sich selber zu installieren, später versucht dann vielleicht irgend ein anderes Programm einen SMTP Server auf Deinem Rechner zu installieren (wharscheinlich idiotischerweise noch ein Windows Binary) um ihn als Spam Schleuder zu benutzen, oder anderer langweiliger Unsinn, wie daß Dein Rechner bei irgendwelchen DOS Angriffen als Bot mitmachen soll. Vielleicht passiert auch einfach garnichts, weil der Wurm schon Monatelang unterwegs ist und die IP an die er deine IP melden soll schon lange wegen "Abuse" gesperrt ist. Schlimmstenfalls installiert sich der Wurm und versucht von Deinem Rechner aus neue schlecht gesicherte ssh Accounts zu knacken und Dein Admin oder Netzbetreiber stellt Deinen Internet zugang wegen Mißbrauchs ab. (Sowas sieht man sehr schön, wenn ein Rechner auf einmal tausende ssh Verbindungen herstellen will). 

Ich glaube nicht, daß Du an sowas viel Spaß haben würdest, also laß es lieber.

----------

