1 |
Am Mittwoch 11 März 2009 21:38:26 schrieb Frank Loewe: |
2 |
> Das sind eher irgendwelche bereits in Mehrzahl geknackte/infizierte |
3 |
> Server/Rechner mit Bots. |
4 |
> |
5 |
> >Wenn ich den Zielrechner mit Pings überdecke, dann hört er nach einer |
6 |
> > Weile auf. |
7 |
> |
8 |
> Klasse Idee. Du beantwortest auch eine DOS Attacke mit einer DOS Attacke? |
9 |
> Sorry wenns so ist, haben wir das mit 15 mal gemacht. :-) |
10 |
> |
11 |
> Wenn deine Firewall das doch meldet... Hast Du SSH überhaupt freigegeben |
12 |
> nach aussen? Wenn nein, schalt das blöde logging ab. Warum soll das Ding |
13 |
> etwas melden, was praktisch nicht geht??? Anfragen die eh ins leere gehen |
14 |
> müssen mich nun interessieren? |
15 |
> |
16 |
> Wenn Du SSH von aussen brauchst, ändere den Port auf 947 oder sonstwas. |
17 |
> Dann ist auch Ruhe im Karton. |
18 |
> |
19 |
> @Bernd |
20 |
> |
21 |
> > Nein. Ich meine damit, dass eine Firewall die wie auch immer etwas meldet |
22 |
> > (muss ja dann was größeres sein, IPtables >schreibt ja maximal Logs) eben |
23 |
> > so umfangereich sein sollte, dass eben auch entsprechend auf "Angriffe" |
24 |
> > reagiert werden >kann. |
25 |
> |
26 |
> Das ist nicht Aufgabe einer Firewall. Ausgefeilte IPS/IDS Systeme sind da |
27 |
> eher in der Lage. Aber ob das etwas größeres ist, frage ich ja oben schon |
28 |
> an. Login versuche auf tote Ports ist nichts, sondern normal heutzutage. |
29 |
> |
30 |
> Zitat Wikipedia zum Thema Firewall: |
31 |
> Von Regelverstößen einmal abgesehen, besteht die Funktion einer Firewall |
32 |
> nicht darin, Angriffe zu erkennen und zu verhindern. Sie besteht lediglich |
33 |
> darin, nur bestimmte Kommunikationsbeziehungen – basierend auf Absender- |
34 |
> oder Zieladresse und genutzten Diensten – zu erlauben. |
35 |
> |
36 |
> Back to Topic: |
37 |
> |
38 |
> Ich würde allerdings mit z.B. Nagios das Logfile überwachen, und damit dann |
39 |
> on demand eine Aktion auslösen lassen, falls die gesuchte Information im |
40 |
> Log auftritt. Nur falls es ums Prinzip geht. Das sollte mit einem einfachen |
41 |
> Plugin welcher die Quell-IP-Informationen parsed machbar sein. |
42 |
> |
43 |
> Gruß |
44 |
> Frank |
45 |
> |
46 |
> -----Ursprüngliche Nachricht----- |
47 |
> Von: Wolfgang Jankowski [mailto:Wolfgang.Jankowski@×××.de] |
48 |
> Gesendet: Mittwoch, 11. März 2009 19:37 |
49 |
> An: gentoo-user-de@l.g.o |
50 |
> Betreff: [gentoo-user-de] Autoresponder für ssh-logins |
51 |
> |
52 |
> Hallo zusammen, |
53 |
> |
54 |
> meine Firewall meldet regelmäßig Einwahlversuche per ssh. Es sind wohl |
55 |
> irgendwelche Einbrecher oder so, die alees austesten. |
56 |
> |
57 |
> Wenn ich den Zielrechner mit Pings überdecke, dann hört er nach einer Weile |
58 |
> auf. Versuche ich jedoch einen ssh-login auf seinem Rechner, so ist |
59 |
> *sofort* Ruhe. |
60 |
> Daher meine Frage: gibt es ein Programm, dass nach einigen erfolglosen |
61 |
> Einwahlversuchen seinerseits mit kontrollierten Aktionen reagiert? Ich bin |
62 |
> schliesslich nicht immer in der Nähe und kann die Los sehen. |
63 |
> |
64 |
> Tschüß |
65 |
> Wolfgang |
66 |
|
67 |
Ich habe jetzt nicht alles gelesen aber teste doch mal fail2ban. |
68 |
* net-analyzer/fail2ban |
69 |
Als ich noch ein webserver via dyndns betrieben hatte, hatte ich auch sehr |
70 |
viele botscracker auf meinem rechner und wollte sie mit einem eigenen script |
71 |
vertreiben bis ich fai2ban endeckt habe. Mein script, wenn gewünscht suche ich |
72 |
mal raus und kann es hier schicken. |
73 |
|
74 |
Viel Glück |
75 |
Gruß |
76 |
Sandy Marko Knauer |