1 |
Das sind eher irgendwelche bereits in Mehrzahl geknackte/infizierte Server/Rechner mit Bots. |
2 |
|
3 |
>Wenn ich den Zielrechner mit Pings überdecke, dann hört er nach einer Weile |
4 |
>auf. |
5 |
|
6 |
Klasse Idee. Du beantwortest auch eine DOS Attacke mit einer DOS Attacke? |
7 |
Sorry wenns so ist, haben wir das mit 15 mal gemacht. :-) |
8 |
|
9 |
Wenn deine Firewall das doch meldet... Hast Du SSH überhaupt freigegeben nach aussen? |
10 |
Wenn nein, schalt das blöde logging ab. Warum soll das Ding etwas melden, was praktisch nicht geht??? |
11 |
Anfragen die eh ins leere gehen müssen mich nun interessieren? |
12 |
|
13 |
Wenn Du SSH von aussen brauchst, ändere den Port auf 947 oder sonstwas. Dann ist auch Ruhe im Karton. |
14 |
|
15 |
@Bernd |
16 |
> Nein. Ich meine damit, dass eine Firewall die wie auch immer etwas meldet (muss ja dann was größeres sein, IPtables >schreibt ja maximal Logs) eben so umfangereich sein sollte, dass eben auch entsprechend auf "Angriffe" reagiert werden >kann. |
17 |
|
18 |
Das ist nicht Aufgabe einer Firewall. Ausgefeilte IPS/IDS Systeme sind da eher in der Lage. |
19 |
Aber ob das etwas größeres ist, frage ich ja oben schon an. Login versuche auf tote Ports ist nichts, sondern normal heutzutage. |
20 |
|
21 |
Zitat Wikipedia zum Thema Firewall: |
22 |
Von Regelverstößen einmal abgesehen, besteht die Funktion einer Firewall nicht darin, Angriffe zu erkennen und zu verhindern. Sie besteht lediglich darin, nur bestimmte Kommunikationsbeziehungen – basierend auf Absender- oder Zieladresse und genutzten Diensten – zu erlauben. |
23 |
|
24 |
Back to Topic: |
25 |
|
26 |
Ich würde allerdings mit z.B. Nagios das Logfile überwachen, und damit dann on demand eine Aktion auslösen lassen, falls die gesuchte Information im Log auftritt. Nur falls es ums Prinzip geht. Das sollte mit einem einfachen Plugin welcher die Quell-IP-Informationen parsed machbar sein. |
27 |
|
28 |
Gruß |
29 |
Frank |
30 |
|
31 |
-----Ursprüngliche Nachricht----- |
32 |
Von: Wolfgang Jankowski [mailto:Wolfgang.Jankowski@×××.de] |
33 |
Gesendet: Mittwoch, 11. März 2009 19:37 |
34 |
An: gentoo-user-de@l.g.o |
35 |
Betreff: [gentoo-user-de] Autoresponder für ssh-logins |
36 |
|
37 |
Hallo zusammen, |
38 |
|
39 |
meine Firewall meldet regelmäßig Einwahlversuche per ssh. Es sind wohl |
40 |
irgendwelche Einbrecher oder so, die alees austesten. |
41 |
|
42 |
Wenn ich den Zielrechner mit Pings überdecke, dann hört er nach einer Weile |
43 |
auf. Versuche ich jedoch einen ssh-login auf seinem Rechner, so ist *sofort* |
44 |
Ruhe. |
45 |
Daher meine Frage: gibt es ein Programm, dass nach einigen erfolglosen |
46 |
Einwahlversuchen seinerseits mit kontrollierten Aktionen reagiert? Ich bin |
47 |
schliesslich nicht immer in der Nähe und kann die Los sehen. |
48 |
|
49 |
Tschüß |
50 |
Wolfgang |