KeyHelp Community

Hallo zusammen,
Erstmal vorweg, zu meinem System:

Anwendungen
Die Software auf Ihrem Server ist auf dem neuesten Stand.
Betriebssystem Ubuntu 16.04 (64-bit)
Kernel 4.9.87-xxxx-std-ipv6-64
KeyHelp

20.0 (Build 1845) Änderungsprotokoll

Webserver Apache 2.4
PHP 7.0.33
Datenbank-Server MariaDB 10.0.38
FTP-Server ProFTPD 1.3.5a
Datenbank-Administration phpMyAdmin 4.9.4
Webmail Roundcube 1.4.2

Server

CPU Intel(R) Atom(TM) CPU N2800 @ 1.86GHz Kerne: 4
Arbeitsspeicher Frei: 682.87 MB Belegt: 1.26 GB Gesamt: 1.93 GB

Follgendes problem habe ich seit gestern
Mein SSH zugang wird mit mindestens 500 Anfragen pro sekunde Torpediert.
Fail2ban "überschlägt" sich gerade zu.

Das hat schon mehrere male dafür gesorgt, das der Server gewaltigen Schluckauf bekommen hat.
Zu spüren bekam man das, durch kaum mehr antwortenden Webserver anfragen, bis hin zu völliger abriegelung, und
Internet verlusten.

Vom Teamspeak geflogen, als auch IRC Verbindungen die gekappt wurden.

Um die Firewall zu Pfelgen, nutze ich die Interne Funktionanilität von Keyhelp über dessen Weboberfläche.
Jüngst seit 3 Tagen ist das Problem, des ständigen Schluckaufs des Server, das ich das Webpannel von Keyhelp nicht mehr erreichen kann.
Nach Prüfung der auth.log mit anwachsenden 954 mb keine chance auf kontrolle. [Stand: Gestern abend, 23 uhr]

Ich würde daher gerne, den SSH port der ja standard mässig port 22 ist, auf einen höheren port umändern.
Dabei würde ich die FW Regel für den SSHD so abändern, das er z.b. auf 60055 eine durchreichung intern zu port 22 durchführt.

Die frage ist, ginge das, wenn ja, wie muss die FW Regel (Aufbau für den FW Eintrag in der Keyhelp Weboberfläche) aussehen?

Ich danke recht herzlich.

blackpanther wrote: ↑Thu 2. Apr 2020, 12:06

Server

CPU Intel(R) Atom(TM) CPU N2800 @ 1.86GHz Kerne: 4
Arbeitsspeicher Frei: 682.87 MB Belegt: 1.26 GB Gesamt: 1.93 GB

Hier liegt eigentlich dein Grundproblem...Die CPU ist nicht gerade der Bringer und 2 GB RAM sollte man als absolute Untergrenze für ein Panel wie Keyhelp ansehen. Beim RAM könntest du möglicherweise upgraden, diese Info bekommst du bei deinem Hoster.

blackpanther wrote: ↑Thu 2. Apr 2020, 12:06 Mein SSH zugang wird mit mindestens 500 Anfragen pro sekunde Torpediert.

Das ist eigentlich noch normales Grundrauschen.

blackpanther wrote: ↑Thu 2. Apr 2020, 12:06 Nach Prüfung der auth.log mit anwachsenden 954 mb keine chance auf kontrolle. [Stand: Gestern abend, 23 uhr]

Doch.
CLI Tools wie z.B. grep sind da sehr hilfreich.

blackpanther wrote: ↑Thu 2. Apr 2020, 12:06 Ich würde daher gerne, den SSH port der ja standard mässig port 22 ist, auf einen höheren port umändern.
Dabei würde ich die FW Regel für den SSHD so abändern, das er z.b. auf 60055 eine durchreichung intern zu port 22 durchführt.

Das würde aber nicht wirklich helfen.
Wenn es wirklich jemand auf deinen SSH-Port abgesehen hat, dann findet der auch den neuen Port binnen Sekunden mit einem Portscan.

blackpanther wrote: ↑Thu 2. Apr 2020, 12:06 Die frage ist, ginge das, wenn ja, wie muss die FW Regel (Aufbau für den FW Eintrag in der Keyhelp Weboberfläche) aussehen?

Einfach die bestehende Regel für Port 22 auf den neuen Port ändern und die Änderungen aktivieren.

Hallo.

Eine Änderung der Hardware, wie z.b. CPU oder Ramspeicher sind nicht möglich.
Der Server ist aus 2012 (OVH) und da lässt sich nichts dran schrauben.

Bezüglich des Ports wegen der Änderung:

Wenn ich den SSH port in Configurationen wie dem SSHD Selbst, ändere " weiss " oder " merkt " Keyhelp und arbeitet trotzdem weiter ?

Was ist mit der idee, des Ext. Ports, der nach innen auf einen anderen port weiter geleitet werden soll ?

Trigger -> 60055 -> an 22 ?

Bei Routern kann man ja auch den Port von Extern nach intern bestimmen, das sollte bei der FW doch auch so gehen ??

blackpanther wrote: ↑Thu 2. Apr 2020, 14:03
Eine Änderung der Hardware, wie z.b. CPU oder Ramspeicher sind nicht möglich.
Der Server ist aus 2012 (OVH) und da lässt sich nichts dran schrauben.

Wie auch?
Intel(R) Atom(TM) CPU N2800 sind aufgelötete Exemplare. Eventuell ist sogar der Ram auf der Platine fest verlötet.

Zahlst du heute noch dasselbe wie im Jahr 2012?

Damals um die 3,50 € / Mon.

aber seit 3 Jahren bewegt es sich bei der Kiste bei 5,99 €.
Für das Geld bekommt man keinen "echten" Root Server.

Nur haben diese dinge, mit der Portweiterleitung allerdings nichts zu tun..

Na gut, für 5,99 kann man nix sagen.
Aber auch nix erwarten

Hallo,

wie ist das eigentlich mit ext. und int. Port gemeint? So etwas hat man in der Regel nur wenn man ein NAT betreibt. Bei einem Server kommt so eine Unterscheidung in aller Regel nicht in Betracht, Port ist Port.

Den SSH Port kann man natürlich nach belieben Ändern, in der KeyHelp Firewall sollte dann die Allow Chain angepasst werden. Weiterhin müsste Fail2Ban dann manuell auf den neuen Port angepasst werden. (Nützt ja nix wenn bei Fehlern im Auth.log dann trotzdem eine Sperre der angreifenden IP auf Port 22 erfolgt).

Wie Jolinar schrieb ist aber ein geänderter SSH Port leicht raus zu finden.

PS: Wenn fail2ban so hohe Last erzeugt so sollte man ggf. auch einmal einen Blick auf den Storage bzw. i/o Last werfen, ggf. ist diese Ursächlich.

Hallo,

mit NAT den Port umzubiegen ist meiner Ansicht nach wenig zielführend. Viel eher würde ich empfehlen eine Firewallfreigabe von einem Host bzw. mehreren spezifischen Hosts für SSH anzulegen und alles andere mit DROP zu verwerfen..

PS. den "Isgenug 2G Server" lasse ich auch seit 2013 weiter laufen

Hallo zusammen.

Nun ist es doch so langsam soweit, und ich muss den Port den Port verschieben, denn die Attacken werden immer schlimmer, und die Zugriffsversuche ebenfalls.
Mit aller kraft wird sich mit benutzern versucht einzuloggen, die es am system nicht gibt.

Der ganze Server ist mitlerweilen beeinträchtigt, da sowohl Chat, Teamspeak und internetseiten die auf dem Server gehostet werden unter mitleidenschaft gezogen werden.

Ich habe u.a. auf dem Server Fail2Ban laufen.

Wenn man den SSH Port ändern, dann muss man das ja bei F2B ja in der Config einstellen.

Ich habe mir die Config des F2B angesehen, aber port 22 ist dort nicht aufgeführt.

Wo finde ich für F2B die Configuration für den SSHD ?

Wenn nur du allein den SSH-Zugang benutzt, gäbe es noch eine Quick&Dirty-Lösung, die dir Abhilfe verschaffen könnte.
Geh im Adminpanel auf Server-Dienst-Verwaltung >> Sonstige Dienste und deaktiviere den SSH-Daemon, dann laufen die Anfragen einfach ins Leere, weil kein Dienst mehr an diesem Port lauscht. Wenn du SSH-Zugang brauchst, kannst du ihn dort vorübergehend wieder aktivieren.
Positiver Nebeneffekt dabei...Du siehst dann, ob es tatsächlich an den Verbindungsversuchen liegt, daß deine Kiste in die Knie geht oder ob der Server allgemein zu leistungsschwach ist (was ich eher vermute). Wenn es dann tatsächlich besser werden sollte, kann man immer noch über eine Anpassung der Konfiguration nachdenken.

Daran hab ich auch schon gedacht.
Aber das wäre zu umständlich.

Nein, der ssh zugang wird - mich eingeschlossen - von Max. 3 Leuten verwendet.

Ich müsste jedesmal ins Adminpanel einloggen um den Zugang wieder zu gewähren, das geht so nicht da ich nicht 24/7 verfügbar sein kann.

Es muaa als config änderung angepasst werden.

Wie aber erwähnt, kann ich bei F2B den port als SSHD sprich port 22 nicht finden, er wird darin nirgens aufgeführt.

blackpanther wrote: ↑Sat 18. Apr 2020, 19:11 Wie aber erwähnt, kann ich bei F2B den port als SSHD sprich port 22 nicht finden, er wird darin nirgens aufgeführt.

Kannst du auch nicht, weil per default der Port 22 für SSH voreingestellt ist.
Um das zu ändern müßtest du im Verzeichnis /etc/fail2ban/jail.d ein neues Jail für SSH anlegen und dort deinen SSH-Port angeben.

BTW:
Ich betreibe meine Systeme ohne f2b und habe die mögliche Lösung nur aus dem Gedächtnis erarbeitet, deshalb keine Garantie auf Korrektheit meiner Ausführungen. Zu deiner eigenen Sicherheit kannst bzw. solltest du zusätzlich die offizielle Doku zu fail2ban konsultieren.