Re: SSH-BruteForce-Attacken
Richard Mittendorfer schrieb:
>>Frage(n):
>>* Wie gefährlich sind diese Attacken wirklich?
> [..] allerdings sind sie laesstig und deswegen
> verwende ich mittlerweile einen knockdaemon oder binde ssh an einen
> anderen port oder verwende x6g89t5f als user und 7^!A-Bd# als pass ;)
anderer Port, auch 'ne gute Idee!
"knockdaemon"? Ein Teil der Debian-Sarge-Dist?
>>* Ist es sinnvoll an den jeweiligen abuse@ISP 'ne Meldung zu schicken?
> wie sinnvoll das ist haengt sicher von der anderen seite ab. manchmal:
> ja, oefter: leider nein.
eben deswegen ne Meldung (geht allerdings nur, wenn technisch umsetzbar)
das diese IP nun gelockt/geblockt sei..
>>* Ist es sinnvoll bzw. überhaupt möglich solche IPs zu
>>bannen/blocken(quasi als Sanktion)?
> eher nein. ich hab selten gleiche IPs geloggt. vielleicht waere es
> sinnvoll gewisse bereiche, von denen eigentlich keine anfrage kommen
> "kann" sowieso zu blocken. zb. nur adressen aus .de/.at/.ch (woher
> halt der kunde kommt) zulassen. wie das mit den ip-adress-bereichen
> aussieht kann ich nicht sagen - nur als spontane idee.
nunja.. Problem ist zb AOL.. ich weiß nicht wieviele Millionen User..
zumindest mehrere gigantische IP-Bereiche. Ebenfalls T-Online mit der
Endung .net .
Statt TLD-seitig täte ich doch eher die einzelnen IPs blocken wollen.
Wunsch(denken) ist nachwievor so 'ne Blacklist :-)
Irgendwann -- ähnlich der EMAIL-SPAM-Technik -- wäre ein Aussortieren /
Sperren / Blocken dann soweit, das es in der Stagnation endet und der
Sinn des Internets verloren geht..
> dann hab ich aber auch einige besonders hartnaeckige attacken in den
> logs, die sich ueber fast eine stunde hinziehen. ein kleines script dass
> die ip ins abseits schickt kann hier nicht schaden.
Jep.. gar mehrere Stunden. Dabei zuzusehen macht mir gänsehaut, obwohl
ich weiß, das zB. der User mysql sich gar nicht einloggen kann und
root-login ebenfalls abgeschaltet ist...
"Abseits-skript" .. machst Du das mit iptables?
Gruß
Andreas
Reply to: