Also sprach Andreas Appenheimer <[EMAIL PROTECTED]> (Sun, 31 Jul 2005 11:40:57 +0200): > Richard Mittendorfer schrieb: > > >>Frage(n): > >>* Wie gefährlich sind diese Attacken wirklich? > > [..] allerdings sind sie laesstig und deswegen > > verwende ich mittlerweile einen knockdaemon oder binde ssh an einen > > anderen port oder verwende x6g89t5f als user und 7^!A-Bd# als pass > > ;) > > anderer Port, auch 'ne gute Idee! > > "knockdaemon"? Ein Teil der Debian-Sarge-Dist?
knockd wurde 'eh schon von Andreas genannt. den verwende ich und er tut was er soll. was mich aber etwas nervt, ist das man ihm keinen port-range an dem er listen soll zuweisen kann. somit frisst er bei jeder netzwerkaktivitaet etwas cpu und eventuell auch etwas bandbreite. [...] > > dann hab ich aber auch einige besonders hartnaeckige attacken in den > > logs, die sich ueber fast eine stunde hinziehen. ein kleines script > > dass die ip ins abseits schickt kann hier nicht schaden. > > Jep.. gar mehrere Stunden. Dabei zuzusehen macht mir gänsehaut, > obwohl ich weiß, das zB. der User mysql sich gar nicht einloggen kann > und root-login ebenfalls abgeschaltet ist... > > "Abseits-skript" .. machst Du das mit iptables? jep. durchs auslesen der auth.log oder messages(wenn eine iptables -j LOG auf dem sshd liegt) und dann damit eine rule in eine block chain einfuegen. sollte eigentlich mit einem der log-eintraege-erkennungs-programme besser gehen, ich verwend' einen cronjob dafuer. > > Gruß > Andreas sl ritch