Re: fail2ban
Daniel <dh@dimax-it.de> wrote:
>> Sven Hartge <sven@svenhartge.de> wrote:
>>> Es geht hier nicht um die Machbarkeit, sondern die maximale Asozialität,
>>> die Abuse-Accounts mit soetwas lächerlichem zuzuspammen.
>>> Ja, glaubst du, die Leute dahinter sitzen auf ihren Händen und warten
>>> nur darauf, dass du gnadenvoll mit deinen automatisierten Mails daher
>>> kommst?
>>> Na, vielen Dank auch.
> Es ist ja nicht so das wenn ein System eine SSH/FTP what ever
> bruteforce startet das er das mit absicht macht.
> Das heisst also das das System von dem vermeindlichen Kunden
> sehr wahrscheinlich gehackt ist.
> Ich denke das sollte man dem Kunden durchaus mitteilen
> weil er es wahrscheinlich alleine nie sehen/merken wird.
Weißt du, wieviele Scans $hier täglich auf den Servern auflaufen? Ohne
Probleme könnte ich mehrere 10.000 Mails pro Tag verschicken.
> Ich komme auch aus der Branche und ich sag dir ganz ehrlich.
> Wenn wir solche mails bekommen, was nicht gerade selten ist,
> kümmern wir uns sehr wohl darum. Zumal die Kunden dann erst merken
> das ihr System gehacked ist und dort nicht nur SSH bruteforce scheiss
> rennt sondern auch irgendwelche Bots etc.
Nicht, dass wir uns nicht auch um solche Dinge kümmern würden, wenn sie
denn auflaufen.
Aber überlege mal, was passiert, wenn jetzt nur 1000 Leute dein Rezept
(so du dann eines erzeugt hast) installieren. Dann prügeln auf die
Abuse-Adresse über und über Hinweis-Mails für ein und die gleiche IP
ein. Dadurch wird das Problem auch nicht schneller behoben, sondern eher
die Bereitwilligkeit zum Bereitstellen einer Abuse-Adresse noch weiter
gemindert.
Ein solches Erkennungs-System würde nur sinnvoll funktionieren, wenn es
einen zentralen Aggregator gibt, der z.B. alle 24 Stunden je nur eine
Mail mit dem aufgelaufenen vermeintlichen Bot-Adressen an die
entsprechende Abuse-Accounts verschickt.
S°
--
Sig lost. Core dumped.
Reply to: