Spamassassin, war: Re: [PUG] Brut-Force-Attacke
Hallo, Am Mi, den 22.10.2003 schrieb Ralf Nickel um 13:03: [...] heute Nacht hat jemand versucht per Brut-Force meinen FTP-Server zu hacken. Reingekommen ist er nicht, hat es aber gepackt mein System auszulasten, da ich mir von logcheck eine Mail der logs zuschicken lasse, die diesmal ca 3,3 MB groß war. Das hat der Spamassassin irgendwie nicht verkraftet und bis heute Morgen das System zu 98% beansprucht. Habe leider vergessen meine eigene Domain in die Whitelist aufzunehmen. Falls Du procmail nutzt: eine IMO elegantere (da auch bei anderen Megabytemails greifende) Methode ist, spamassassin nur mails checken zu lassen, die kleiner als eine bestimmte Größe sind: :0fw * 102400 | spamassassin -P Ich nehme hier als Grenze 100kb (oder 100KB? Wie schreibt man das nochmal korrekt?) und fahre damit eigentlich gut. Gruß, Dominique -- [www.snooweatinganima.de] signature.asc Description: Dies ist ein digital signierter Nachrichtenteil
Re: [PUG] Brut-Force-Attacke
On Wed, Oct 22, 2003 at 01:03:19PM +0200, Ralf Nickel wrote: Gibt es ein Tool, das Brut-Force Attacken systemweit erkennt und die IP des ich benutze hier firewall - limit regeln und psad - gibts leider nur als unstable bei Debian aber mit deb-make dpkg-buildpackages kann man das Teil auch selber bauen. http://www.cipherdyne.org/ aktuell - psad-1.2.4.tar.gz -cr -- o.o 'v' / \ It's your choise - i use LINUX ~ ~ PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Brut-Force-Attacke
deb-make dpkg-buildpackages kann man das Teil auch selber bauen. vergiss das mit dem deb-make.. das hab ich beim jpilot-, pilot-link gemacht. einfach nur ./install.pl -- o.o 'v' / \ It's your choise - i use LINUX ~ ~ PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Brut-Force-Attacke
Ralf Nickel wrote: Moin Liste, ... Gibt es ein Tool, das Brut-Force Attacken systemweit erkennt und die IP des Angreifer sperrt? Sowas ähnliches wie portsentry, nur nicht für portscans, sondern wenn jemand 20x hintereinander versucht sich auf irgendeinem Port einzuloggen. Ein Tool dafür wäre z.B.: fwlogwatch Auszug aus der Debian-Apket-Beschreibung: Description: Firewall log analyzer fwlogwatch produces ipchains, netfilter/iptables, ipfilter, Cisco IOS and Cisco PIX log summary reports in text and HTML form and has a lot of options to find and display relevant patterns in connection attempts. With the data found it can also generate customizable incident reports from a template and send them to abuse contacts at offending sites or CERT coordination centers. Finally, it can also run as daemon and report anomalies or start countermeasures. Dazu gab es vor kurzem auch einen kleinen Artikel im Linux Magazin. Wenn Du will scanne ich den für Dich ein und schicke ihn Dir zu - vorausgesetzt ich finde ihn noch ;-) Grüsse Tobi PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] Brut-Force-Attacke
Moin Liste, heute Nacht hat jemand versucht per Brut-Force meinen FTP-Server zu hacken. Reingekommen ist er nicht, hat es aber gepackt mein System auszulasten, da ich mir von logcheck eine Mail der logs zuschicken lasse, die diesmal ca 3,3 MB groß war. Das hat der Spamassassin irgendwie nicht verkraftet und bis heute Morgen das System zu 98% beansprucht. Habe leider vergessen meine eigene Domain in die Whitelist aufzunehmen. Die Folge war, dass einige Mails nicht richtig verarbeitet wurden und wieder leer bei mir angekommen sind. (Das selbe wie letztens, als ich nur ein paar Zeilen Sieve-Header erhalten habe. Scheint wohl an Systemüberlastung zu liegen) Gibt es ein Tool, das Brut-Force Attacken systemweit erkennt und die IP des Angreifer sperrt? Sowas ähnliches wie portsentry, nur nicht für portscans, sondern wenn jemand 20x hintereinander versucht sich auf irgendeinem Port einzuloggen. Gruß Ralf PUG - Penguin User Group Wiesbaden - http://www.pug.org
AW: [PUG] Brut-Force-Attacke
http://www.snort.org für snort sollte es bestimmt ein paar scripts geben, welche dein problem lösen. guck auch gleich mal in die snort foren. -Ursprüngliche Nachricht- Von: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Auftrag von Ralf Nickel Gesendet: Mittwoch, 22. Oktober 2003 13:03 An: [EMAIL PROTECTED] Betreff: [PUG] Brut-Force-Attacke Moin Liste, heute Nacht hat jemand versucht per Brut-Force meinen FTP-Server zu hacken. Reingekommen ist er nicht, hat es aber gepackt mein System auszulasten, da ich mir von logcheck eine Mail der logs zuschicken lasse, die diesmal ca 3,3 MB groß war. Das hat der Spamassassin irgendwie nicht verkraftet und bis heute Morgen das System zu 98% beansprucht. Habe leider vergessen meine eigene Domain in die Whitelist aufzunehmen. Die Folge war, dass einige Mails nicht richtig verarbeitet wurden und wieder leer bei mir angekommen sind. (Das selbe wie letztens, als ich nur ein paar Zeilen Sieve-Header erhalten habe. Scheint wohl an Systemüberlastung zu liegen) Gibt es ein Tool, das Brut-Force Attacken systemweit erkennt und die IP des Angreifer sperrt? Sowas ähnliches wie portsentry, nur nicht für portscans, sondern wenn jemand 20x hintereinander versucht sich auf irgendeinem Port einzuloggen. Gruß Ralf -- -- PUG - Penguin User Group Wiesbaden - http://www.pug.org PUG - Penguin User Group Wiesbaden - http://www.pug.org