Jemand ist dabei mein VNC Server zu Bruten - Frage

[Cystasy]

Hey,
Ich besitze aus Account Management Gründen nen VPS Server von OVH.. dort habe ich ein VNC Server installiert.
Diesen VNC Server nutze ich dafür mich mit meinem Computer oder Handy auf mein VPS einzuloggen & per Browser
einige Dinge zu konfigurieren & zu kontrollieren (Status einiger Accounts).. Nun habe ich aber seit 2-3 Tagen ein Problem:

Scheinbar versucht irgendjemand meinen VNC Server zu bruten.
Ständig wenn ich mich versuche auf mein VNC Server einzuloggen, kommt die Fehlermeldung das es zuviele Anmeldeversuche
gegeben hat und ich mich deshalb nicht einloggen kann. Das führt dann jedesmal dazu das ich mich umständlich über SSH auf
den VPS einloggen muss, den VNC Server killen und wieder neustarten damit ich mich einloggen kann um meine
Konfiguriationen & Analyse Vorgänge auf meinen Acocunts vornehmen kann..

Nun frage ich mich folgendes:

1) Gibt es eine Möglichkeit irgendwie gegen diese Bruteforce Versuche "abzusichern"?
Mein Password ist schon 14 Zeichen lang und enthält auch Zahlen.. nur weiß ich das dies wahrscheinlich
nicht all zuviel helfen wird da es keine Sonderzeichen enthält.

Denkt ihr ich sollte das Password erneuern mit Sonderzeichen, zig Zahlen, Buchstaben etc. ?
Besonders jetzt wo ich sehe das jemand aktiv versucht das Password zu bruten?
Als ich den VPS gemietet habe hatte ich eigendlich nicht erwartet das jemand so hartnäckig und nervig sein würde
da Tagelang zu versuchen das VNC Pass zu bruten..

2) Wäre es eventuell sinnvoll "Maximale Anzahl an Anmeldeversuche bevor Anmelden gesperrt" auf 1 zu setzen?
Würde denke ich das Bruten enorm erschweren weil dann 90% des Tages kein bruten möglich wäre.
Anderseits würde mich das ganze dann in der Produktiven Arbeit ziemlich behindern da ich so ständig
Manuell den VNC Server neustarten müsste bevor ich mich einloggen kann.. was dann z.b mit dem
Smartphone ziemlich ätzend ist. Was meint ihr dazu?

3) Was würdet ihr in so einer Situation machen? Einfach Password noch krass verstärken + die Anmeldeversuche erhöhen damit ihr eure Ruhe habt und in Ruhe arbeiten könnt?
Oder was würdet ihr da tun? Ich habe da bisher noch nie das Problem gehabt das jemand aktiv versucht das PW zu bruten, daher möchte ich
auf Nummer sicher gehen.. auf den jeweiligen Accounts die ich verwalte ist ziemlich Wertvoller Kram.. denke ich werde das Password verstärken..
Keine Lust das mir da jemand die Accounts klaut.

EDIT: Habe Sicherheitshalber das Password jetzt mal geändert und Sonderzeichen hinzugefügt..

grüße

[4ctid]

Das VNC Protokoll ist afaik ziemlich unsicher und nicht für den öffentlich zugänglichen Gebrauch im Internet empfehlenswert. Mein Vorschlag wäre es, einen privaten vpn auf dem server einzurichten und den vnc Zugriff darauf zu limitieren. Ähnlich könntest du das auch per ssh-tunnel machen. Viellleicht reicht es aber auch einfach den Port des vnc-servers zu ändern, damit die Bruteforcer den offenen Port nicht direkt finden.

Grundsätzlich solltest du aber - sofern es um einen linux vps geht - auf desktop remote control verzichten und stattdessen ssh benutzen.

[Thunderstorm]

Siehst du denn die anfragenden IP´s des Brutforces? Wenn ja würde ich diese erst mal sperren das sollte die schnellste Lösung sein und dann wie mein Vorposter schon empholen hat auf VPN zu setzten anstatt auf VNC.

Gruß,
Thunder

[Cystasy]

@4ctid
Jap, ist ein Linux VPS.. benötige aber eine Desktop Umgebung für mein Projekt.. das funktioniert nicht nur per Console.
Ansonsten.. Du meinst also nen VPN auf dem VPS einrichten und dann per iptable alles sperren außer das was über den VPN läuft?
Oder wie würde man sowas machen?

@all
Ich brauche den VPS sogesehen als "Alibi System" (als eigenständiges System mit eigenem Browser, Ip, Cache usw) das in den Server Logs "legit" ausschauen soll, jedoch keinerlei zurückverfolgbaren Pfad auf mein Realen Account (Ip, Betriebsystem, Browser, Cache usw) bei einer spezifischen Webseite besitzt.. Wenn dieser Zusammenhang zwischen dem Account auf dem VPS & meinem Realem nämlich zustande kommt, werden meine Accounts gesperrt & ich verliere ein haufen Geld und Zeit.

Soweit ich aber VPN's verstehe dienen sie lediglich als eine Verbindungsbrücke zum VPS, nicht um eine Desktopumgebung zu haben auf der ich den VPS steuern kann - oder habe ich den Begriff VPN falsch verstanden? Ich denke mal nicht. Ich benötige nämlich eine Desktop Umgebung auf dem VPS von dem ich dann Zugriff auf einen Browser habe um in meinen Accounts diverse Dinge zu managen.

Mir ist das Projekt was ich da habe enorm wichtig - habe dort etliche Monate Arbeit reingesteckt um das ganze zu planen, die einzelnen Strukturen aufzubauen etc.. wäre Doof wenn das ganze dann in Bruch gehen würde wegen nem Scriptkiddy was mein Password gebruted bekommt.

Gehen wir mal von folgendem Szenario aus:

- VNC und SSH Passwort = 14 Zeichen, 1-2 Sonderzeichen, 2 Zahlen, Rest Klein und Groß Buchstaben
- Eventuell.. VNC Server über SSH Console gekillt lassen solange ich nicht aktiv dran arbeiten muss
- Starten & Beenden des VNC Servers über SSH (Smartphone App für SSH oder am PC halt putty)

Meint ihr das reicht an Sicherheit um genug Sicherheit zu gewähren für den typischen Scriptkiddy der "eben mal schnell" versucht das PW zu bruten?
Das Problem am ganzen ist, in Zukunft (sofern alles klappt.. Ende dieses Monats) möchte ich das ganze auf 5 bis 30 VPS hochskalieren.
Muss mich bei jedem der VPS's einmal Täglich für 1-5 Minuten einloggen, dann nochmals einmal Monatlich für 1-2 Stunden um einige Dinge zu konfigurieren und Statistiken zu betrachten um einen Überblick über den jeweiligen Account zu haben. Wenn ich da nun aber für jeden VPS erstmal mich per SSH connecten muss, vnc server starten, vnc client connecten, Account Kram erledigen, ausloggen, wieder vnc server killen usw.. und das 5-30 mal.. pro Tag.. das wär krass viel Arbeit.

p.s: Die IP's sehe ich leider nicht (mehr), die logs sind beim letzten neuaufsetzen des VPS leider flöten gegangen (habe nicht dran gedacht sie zu backupen).
Nächstesmal könnte ich mal schauen.. glaube aber nicht das das blocken von ip's eine besonders gute Langzeit Lösung ist.
Gibt ja genug Bruteforce Tools die Proxy Support haben.. würde wohl nicht lange helfen.

p.p.s: Kaum will ich mich einloggen ises schon wieder.. da muss jemand echt Hobbyloses dran hocken der jedesmal versucht zu bruten sobald der VNC Server wieder online geht.. geht mir langsam aufn keks ;c In den Logs stehen keine IP's, nur eins fällt mir auf -> "Xtightvnc: client 6 rejected from local host".


grüße

[hoohead]

Du kannst den Angreifer mittels iptables blocken:

iptables -A INPUT -s [IP-des-Angreifers] -j DROP

Zum anzeigen der Verbindungen an der Netzwerkkarte kannst Du:

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

verwenden.

[Cystasy]

Du kannst den Angreifer mittels iptables blocken:

iptables -A INPUT -s [IP-des-Angreifers] -j DROP

Zum anzeigen der Verbindungen an der Netzwerkkarte kannst Du:

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

verwenden.

Theoretisch würde das gehen, doch leider gibt es das Problem das

1) Ich keinerlei IP's in den Logfiles habe (warum auch immer) und somit auch nichts was ich blocken kann

2) Der Angreifer einfach seine IP wechseln könnte und ich dann ständig neu blocken müsste

Ich habe es jetzt so gelöst das ich mit SSH jeweils den VNC Server starte wenn ich ihn benötige, und ansonsten gestoppt lasse.
So kann niemand den VNC Server bruten, und das Problem ist (vorerst) mal beiseite.
Nervig weil ich so zusätzlich einen Arbeitsschritt machen muss.. aber wüsste keine bessere Lösung.

grüße

[hoohead]

Du kannst Dir ja mal meinen hoodog anschauen:

http://hoohead.hoohost.org/backup/20...og-v1-release/

Die IPs brauchst Du übrigens nicht aus den Logfiles auslesen, sondern kannst direkt an der Netzwerkkarte nachschauen, welche IPs zu viel Last erzeugen.
Das machst Du mit: netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
(Natürlich muss in diesem Augenblick ein Bruteforceversuch laufen).

[Cystasy]

Vielen Dank, werde es mir mal anschauen

[Hu5eL]

fail2ban ist auch ein schlagwort dafür.