| 1 |
Am Mittwoch 11 März 2009 21:38:26 schrieb Frank Loewe: |
| 2 |
> Das sind eher irgendwelche bereits in Mehrzahl geknackte/infizierte |
| 3 |
> Server/Rechner mit Bots. |
| 4 |
> |
| 5 |
> >Wenn ich den Zielrechner mit Pings überdecke, dann hört er nach einer |
| 6 |
> > Weile auf. |
| 7 |
> |
| 8 |
> Klasse Idee. Du beantwortest auch eine DOS Attacke mit einer DOS Attacke? |
| 9 |
> Sorry wenns so ist, haben wir das mit 15 mal gemacht. :-) |
| 10 |
> |
| 11 |
> Wenn deine Firewall das doch meldet... Hast Du SSH überhaupt freigegeben |
| 12 |
> nach aussen? Wenn nein, schalt das blöde logging ab. Warum soll das Ding |
| 13 |
> etwas melden, was praktisch nicht geht??? Anfragen die eh ins leere gehen |
| 14 |
> müssen mich nun interessieren? |
| 15 |
> |
| 16 |
> Wenn Du SSH von aussen brauchst, ändere den Port auf 947 oder sonstwas. |
| 17 |
> Dann ist auch Ruhe im Karton. |
| 18 |
> |
| 19 |
> @Bernd |
| 20 |
> |
| 21 |
> > Nein. Ich meine damit, dass eine Firewall die wie auch immer etwas meldet |
| 22 |
> > (muss ja dann was größeres sein, IPtables >schreibt ja maximal Logs) eben |
| 23 |
> > so umfangereich sein sollte, dass eben auch entsprechend auf "Angriffe" |
| 24 |
> > reagiert werden >kann. |
| 25 |
> |
| 26 |
> Das ist nicht Aufgabe einer Firewall. Ausgefeilte IPS/IDS Systeme sind da |
| 27 |
> eher in der Lage. Aber ob das etwas größeres ist, frage ich ja oben schon |
| 28 |
> an. Login versuche auf tote Ports ist nichts, sondern normal heutzutage. |
| 29 |
> |
| 30 |
> Zitat Wikipedia zum Thema Firewall: |
| 31 |
> Von Regelverstößen einmal abgesehen, besteht die Funktion einer Firewall |
| 32 |
> nicht darin, Angriffe zu erkennen und zu verhindern. Sie besteht lediglich |
| 33 |
> darin, nur bestimmte Kommunikationsbeziehungen – basierend auf Absender- |
| 34 |
> oder Zieladresse und genutzten Diensten – zu erlauben. |
| 35 |
> |
| 36 |
> Back to Topic: |
| 37 |
> |
| 38 |
> Ich würde allerdings mit z.B. Nagios das Logfile überwachen, und damit dann |
| 39 |
> on demand eine Aktion auslösen lassen, falls die gesuchte Information im |
| 40 |
> Log auftritt. Nur falls es ums Prinzip geht. Das sollte mit einem einfachen |
| 41 |
> Plugin welcher die Quell-IP-Informationen parsed machbar sein. |
| 42 |
> |
| 43 |
> Gruß |
| 44 |
> Frank |
| 45 |
> |
| 46 |
> -----Ursprüngliche Nachricht----- |
| 47 |
> Von: Wolfgang Jankowski [mailto:Wolfgang.Jankowski@×××.de] |
| 48 |
> Gesendet: Mittwoch, 11. März 2009 19:37 |
| 49 |
> An: gentoo-user-de@l.g.o |
| 50 |
> Betreff: [gentoo-user-de] Autoresponder für ssh-logins |
| 51 |
> |
| 52 |
> Hallo zusammen, |
| 53 |
> |
| 54 |
> meine Firewall meldet regelmäßig Einwahlversuche per ssh. Es sind wohl |
| 55 |
> irgendwelche Einbrecher oder so, die alees austesten. |
| 56 |
> |
| 57 |
> Wenn ich den Zielrechner mit Pings überdecke, dann hört er nach einer Weile |
| 58 |
> auf. Versuche ich jedoch einen ssh-login auf seinem Rechner, so ist |
| 59 |
> *sofort* Ruhe. |
| 60 |
> Daher meine Frage: gibt es ein Programm, dass nach einigen erfolglosen |
| 61 |
> Einwahlversuchen seinerseits mit kontrollierten Aktionen reagiert? Ich bin |
| 62 |
> schliesslich nicht immer in der Nähe und kann die Los sehen. |
| 63 |
> |
| 64 |
> Tschüß |
| 65 |
> Wolfgang |
| 66 |
|
| 67 |
Ich habe jetzt nicht alles gelesen aber teste doch mal fail2ban. |
| 68 |
* net-analyzer/fail2ban |
| 69 |
Als ich noch ein webserver via dyndns betrieben hatte, hatte ich auch sehr |
| 70 |
viele botscracker auf meinem rechner und wollte sie mit einem eigenen script |
| 71 |
vertreiben bis ich fai2ban endeckt habe. Mein script, wenn gewünscht suche ich |
| 72 |
mal raus und kann es hier schicken. |
| 73 |
|
| 74 |
Viel Glück |
| 75 |
Gruß |
| 76 |
Sandy Marko Knauer |
Archives