| |||
|
|
|
| ||||||||||||||||||
|
|
|
||||||||||||||||||
|
Das /var/log/messages file hat rund 27500 Zeilen. Davon sind 22300 Einträge nur vom sshd. Bevor ich den Port 443 offen hatte, war auch einiges los. Aber seit dieser zusätzlich offen ist, gehts rund auf dem Server. Zuerst werden über https ein paar lustige Versuche gemacht, und danach der ssh-Zugang malträtiert. Hab mal als ersten Lösungsansatz was nettes gefunden: iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP Blockiert den ssh-Port für neue Verbindungen, wenn es mehr als 3 Versuche innerhalt einer Minute gibt. Alternativ gibt es Methoden, welche die Logfiles analysieren und dann die hosts.allow/deny anpassen. Aber irgendwie gefällt mir das nicht. Weiters werd ich jetzt noch "syslog"-Filter einbauen, damit der Rest in eigene Logfiles kommt. Wie ist das bei Euch? Habt ihr da was "cooleres" im Einsatz? Nicht hinsichtlich Sicherheit, denn auf den Server kommt man ohnehin nur mit Schlüssel UND Passphrase. Sondern um dem ganzen Mist ein wenig zu reduzieren. Das Logging komplett abzudrehen, gefällt mir aber auch nicht. lg, Hawelka | ||||||||||||||||||||
| 23.01.2012, 16:49 Uhr - Editiert von Hawelka, alte Version: hier |
||||||||||||||||||||
| ||||||||||||||||||||
Re: sshd / brute-force-attacks (frostschutz am 23.01.2012 17:15:06)
Re(2): sshd / brute-force-attacks (Hawelka am 23.01.2012 18:16:34)
Re(3): sshd / brute-force-attacks (frostschutz am 23.01.2012 19:00:33)
Re(4): sshd / brute-force-attacks (Hawelka am 23.01.2012 19:02:47)
Re(5): sshd / brute-force-attacks (frostschutz am 23.01.2012 19:35:52)
Re(6): sshd / brute-force-attacks (Hawelka am 23.01.2012 19:44:29)
Re(7): sshd / brute-force-attacks (A national Acrobat am 23.01.2012 19:52:18)
Re(7): sshd / brute-force-attacks (frostschutz am 23.01.2012 20:08:00)
Re(8): sshd / brute-force-attacks (MG am 23.01.2012 20:21:55)
Re(8): sshd / brute-force-attacks (Hawelka am 23.01.2012 21:09:09)
Re(7): sshd / brute-force-attacks (MG am 23.01.2012 20:15:48)
Re(3): sshd / brute-force-attacks (MG am 23.01.2012 20:14:04)
Re(4): sshd / brute-force-attacks (Hawelka am 23.01.2012 21:11:25)
Re: sshd / brute-force-attacks (m3t4tr0n am 23.01.2012 17:51:05)
Re(2): sshd / brute-force-attacks (Hawelka am 23.01.2012 18:13:46)
Re: sshd / brute-force-attacks (MG am 23.01.2012 20:07:39)
Re(2): sshd / brute-force-attacks (Hawelka am 23.01.2012 21:17:46)
Re: sshd / brute-force-attacks (nerve am 23.01.2012 23:37:43)
Re: sshd / brute-force-attacks (Desolationrob am 24.01.2012 16:03:52)
Re: sshd / brute-force-attacks (dadaniel am 24.01.2012 16:35:40)
|
|
| ||||||||||||||||||
|
|
|
||||||||||||||||||
Hab mir mal, als mir fad war, was selber geschrieben  http:/ Geht aber nur unter Linux (nutzt iptables) und IMHO habe ich wo ein Speicherleck  Nutze es aber auf meinem Router fürn FTP, SSH und telnet Dienst.. Es geht jede neue Zeile einer Logdatei durch und prüft auf Einträge und wenn da zB "password failed" vorkommt, dann wird ein Internet Counter (auf Basis der IP) hochgezählt. Ist ein eingestelltes maximum erreicht, so wird der via iptables gebanned und nach Zeit XX wieder entbanned (falls man es mal schafft sich selbst auszusperren). Mein Output beim "Eindringen" Wed Jan 18 12:38:11 2012: Startup: Time: Wed Jan 18 12:38:11 2012 ... Apple Fans sind wie Zeugen Jehovas. Es ist sinnlos mit ihnen zu reden.. Why not ZOIDBERG? (V)_(°,,,°)_(V) (-.(-.(-.(-.-).-).-).-) |
||||||||||||||||||||
| ||||||||||||||||||||
Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Auf ABGB §1330 Abs. 2 wird ausdrücklich hingewiesen.
