Re: IP adresse nach Fehllogin Bannen?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Felix M. Palmen schrieb: Ich habe jedenfalls eine funktionierende Version: | iptables -N NOBF | iptables -A NOBF -m recent --update --name 'BF' --seconds 120 \ | --hitcount 4 --rttl -j LOG --log-prefix 'Bruteforce: ' | iptables -A NOBF -m recent --update --name 'BF' --seconds 120 \ | --hitcount 4 --rttl -j RETURN | iptables -A NOBF -m recent --set --name 'BF' -j ACCEPT Dabei wird die Chain NOBF nur für neue Verbindungen (--state NEW) zu ftp und ssh angesprungen. RETURN sorgt hier im weiteren Verlauf für ein REJECT. Nur bei ftp und ssh? Öhh wo steht das denn da? - -- Bye, Patrick Cornelissen http://www.p-c-software.de ICQ:15885533 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFCK33M4/Hplayn3Y8RAvq+AJ0dcLuNTNGuiaGS6Ax37DEwzFQ/XgCfV+9P cHeQyv3yX76D/z6Es1jT6q0= =pf3S -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IP adresse nach Fehllogin Bannen?
Hallo Patrick, * Patrick Cornelißen [EMAIL PROTECTED] [20050306 23:01]: Felix M. Palmen schrieb: Dabei wird die Chain NOBF nur für neue Verbindungen (--state NEW) zu ftp und ssh angesprungen. RETURN sorgt hier im weiteren Verlauf für ein REJECT. Nur bei ftp und ssh? Öhh wo steht das denn da? Die Chain wird nur bei neuen Verbindungen zu FTP und SSH angesprungen. Das steht selbstverständlich nicht in der Chain selbst. Falls dich das komplette Script interessiert: http://www.akk.org/~zorg/iptables -- | /\ ASCII Ribbon | Felix M. Palmen (Zirias)http://zirias.ath.cx/ | | \ / Campaign Against | [EMAIL PROTECTED] encrypted mail welcome | | XHTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 | signature.asc Description: Digital signature
Re: IP adresse nach Fehllogin Bannen?
On Sat, 05 Mar 2005 01:03:03 +0100 Florian [EMAIL PROTECTED] wrote: XP-Webdesign wrote: Am Freitag, den 04.03.2005, 18:00 +0100 schrieb Stefan Muthers: Hi! * XP-Webdesign [EMAIL PROTECTED]: da ich in letzter Zeit festgestellt habe das immer wieder einige script kiddies es versuchen per Login/passwort Kombination ssh oder FTP Zugriff Hallo, auch wenn ich noch keinen schimmer habe wie man das umsetzt habe ich mal gelesen das derjenige seinen Rechner per Mobiltelefon anruft (absender nummer überprüft) um dann sshd oder sonstiges zu starten und um dann in den Rechner zu kommen! Wenn auch paranoid gar keine schlechte idee wie ich finde! Hm, sowas kenne ich nicht, aber das hier: http://www.portknocking.org/ - du musst bestimmte Ports an-SYN-en damit dein Port für den SSHd in der Firewall geöffnet wird. Gruß Florian Gruß, Evgeni -- ^^^| Evgeni -SargentD- Golov ([EMAIL PROTECTED]) d(O_o)b | PGP-Key-ID: 0xAC15B50C -|- | WWW: www.die-welt.net ICQ: 54116744 / \| IRC: #sod @ irc.german-freakz.net pgpsQauSSeVHS.pgp Description: PGP signature
Re: IP adresse nach Fehllogin Bannen?
On Fri, 04 Mar 2005 18:20:55 +0100 XP-Webdesign [EMAIL PROTECTED] wrote: oops -- XP-Webdesign [EMAIL PROTECTED] Bei mir ist es auch ein eigener ... Aber: References: [EMAIL PROTECTED] [EMAIL PROTECTED] Gruß, Carsten
Re: IP adresse nach Fehllogin Bannen?
Hallo Stefan, * Stefan Muthers [EMAIL PROTECTED] [20050304 18:00]: ich habe mal bei der Suche nach dem gleichen Problem das hier gefunden: http://blog.andrew.net.au/2005/02/17 Klappte aber nicht auf anhieb und ich glaube du brauchst dafuer den recent Patch. In meinem Linux 2.4.28 war recent schon enthalten. Allerdings glaube ich kaum, dass das Script von diesem Blog funktionieren kann. Laut `iptables -m recent --help` matcht --set nämlich /immer/, so dass die interessante DROP-Regel nie erreicht werden kann. Sie müsste als erstes stehen. Ich habe jedenfalls eine funktionierende Version: | iptables -N NOBF | iptables -A NOBF -m recent --update --name 'BF' --seconds 120 \ | --hitcount 4 --rttl -j LOG --log-prefix 'Bruteforce: ' | iptables -A NOBF -m recent --update --name 'BF' --seconds 120 \ | --hitcount 4 --rttl -j RETURN | iptables -A NOBF -m recent --set --name 'BF' -j ACCEPT Dabei wird die Chain NOBF nur für neue Verbindungen (--state NEW) zu ftp und ssh angesprungen. RETURN sorgt hier im weiteren Verlauf für ein REJECT. Grüße, Felix -- | /\ ASCII Ribbon | Felix M. Palmen (Zirias)http://zirias.ath.cx/ | | \ / Campaign Against | [EMAIL PROTECTED] encrypted mail welcome | | XHTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 | signature.asc Description: Digital signature
IP adresse nach Fehllogin Bannen?
HI Liste, da ich in letzter Zeit festgestellt habe das immer wieder einige script kiddies es versuchen per Login/passwort Kombination ssh oder FTP Zugriff zu erlangen, hab ich mich gefragt ob es möglichkeiten gibt eine IP-Adresse automatisch nach 3 Fehleingaben für eine gewisse Zeit bannen zu lassen. Am besten wäre es, wenn es z.B. mit ssh Fehleingaben gab, auch kein Zugriff auf andere Ports mehr möglich ist. Vielleicht sogar über iptables alles dicht machen oder so. MFG Michi -- XP-Webdesign [EMAIL PROTECTED]
Re: IP adresse nach Fehllogin Bannen?
Hallo, Michi (Michaela oder Michael? ;-) Du bist ein Thread-Hijacker. Bitte stelle eine neue Frage nicht als Antwort auf eine andere. Am Freitag, 4. März 2005 12:37 schrieb XP-Webdesign: HI Liste, da ich in letzter Zeit festgestellt habe das immer wieder einige script kiddies es versuchen per Login/passwort Kombination ssh oder FTP Zugriff zu erlangen, hab ich mich gefragt ob es möglichkeiten gibt eine IP-Adresse automatisch nach 3 Fehleingaben für eine gewisse Zeit bannen zu lassen. Am besten wäre es, wenn es z.B. mit ssh Fehleingaben gab, auch kein Zugriff auf andere Ports mehr möglich ist. Vielleicht sogar über iptables alles dicht machen oder so. Vielleicht hat da jemand schon was fertiges, ansonsten die Logdateien per Script beobachten und die Fehler-Login zählen. Alternativ kannst du den sshd auch mit der Option -e starten, dann schreibt er die Meldungen nicht ins logfile, sondern in die Standard-Fehlerausgabe. Bei Erreichen der max. Fehlerzahl wird dann eine IPtables-Regel eingefügt, die die betreffende IP blockiert. BTW: Meinst du, dass das wirklich nötig ist? Ich hab das hier relativ selten und bisher nie ausdauernd von einer IP aus. -- Gruß MaxX Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen. Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Re: IP adresse nach Fehllogin Bannen?
On Fri, Mar 04, 2005 at 02:28:31PM +0100, Matthias Houdek wrote: Hallo, Michi (Michaela oder Michael? ;-) Du bist ein Thread-Hijacker. Bitte stelle eine neue Frage nicht als Antwort auf eine andere. Wie kommst du darauf? Bei mir ist es ein eigener Thread. schöne Grüße aus Hamburg Nico -- It`s not a trick...it`s Linux! | web: www.linico.de ---°°--- | mailto: [EMAIL PROTECTED] Nico Jochens - MCSE und CNA| Registered Linux User #313928 Hamburg, Germany | PGP-Signature: kommt noch
Re: IP adresse nach Fehllogin Bannen?
On Fri, 4 Mar 2005 15:29:18 +0100 Nico Jochens [EMAIL PROTECTED] wrote: On Fri, Mar 04, 2005 at 02:28:31PM +0100, Matthias Houdek wrote: Hallo, Michi (Michaela oder Michael? ;-) Du bist ein Thread-Hijacker. Bitte stelle eine neue Frage nicht als Antwort auf eine andere. Wie kommst du darauf? Bei mir ist es ein eigener Thread. Deshalb: In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] [EMAIL PROTECTED] Steht in DEINEN Mailheadern drin ;-) schöne Grüße aus Hamburg gleiches aus Düsseldorf Nico Evgeni -- ^^^| Evgeni -SargentD- Golov ([EMAIL PROTECTED]) d(O_o)b | PGP-Key-ID: 0xAC15B50C -|- | WWW: www.die-welt.net ICQ: 54116744 / \| IRC: #sod @ irc.german-freakz.net pgpmHB93NZbR0.pgp Description: PGP signature
Re: IP adresse nach Fehllogin Bannen?
Am Freitag, 4. März 2005 15:29 schrieb Nico Jochens: On Fri, Mar 04, 2005 at 02:28:31PM +0100, Matthias Houdek wrote: Hallo, Michi (Michaela oder Michael? ;-) Du bist ein Thread-Hijacker. Bitte stelle eine neue Frage nicht als Antwort auf eine andere. Wie kommst du darauf? Bei mir ist es ein eigener Thread. Hier ist er auch ge-Hijackt. Gruß Thomas
Re: IP adresse nach Fehllogin Bannen?
oops -- XP-Webdesign [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
IP adresse nach Fehllogin Bannen?
HI Liste, da ich in letzter Zeit festgestellt habe das immer wieder einige script kiddies es versuchen per Login/passwort Kombination ssh oder FTP Zugriff zu erlangen, hab ich mich gefragt ob es möglichkeiten gibt eine IP-Adresse automatisch nach 3 Fehleingaben für eine gewisse Zeit bannen zu lassen. Am besten wäre es, wenn es z.B. mit ssh Fehleingaben gab, auch kein Zugriff auf andere Ports mehr möglich ist. Vielleicht sogar über iptables alles dicht machen oder so. MFG -- XP-Webdesign [EMAIL PROTECTED]
Re: IP adresse nach Fehllogin Bannen?
XP-Webdesign [EMAIL PROTECTED] schrieb: Wer? HI Liste, da ich in letzter Zeit festgestellt habe das immer wieder einige script hatten wir das heute nicht schon einmal? Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IP adresse nach Fehllogin Bannen?
Hello XP-Webdesign, On Fri, 04 Mar 2005 17:07:41 +0100 XP-Webdesign [EMAIL PROTECTED] wrote: HI Liste, muß sowas sein? Du hast, obwohl Du _keinen_ Realnamen angegeben hast, auf die gleiche Frage schon meherer Antworten erhalten. Jörg -- Jörg Schütter http://www.schuetter.org/joerg [EMAIL PROTECTED]http://www.lug-untermain.de/
Re: IP adresse nach Fehllogin Bannen?
Am 2005-03-04 17:07:41, schrieb XP-Webdesign: HI Liste, da ich in letzter Zeit festgestellt habe das immer wieder einige script kiddies es versuchen per Login/passwort Kombination ssh oder FTP Zugriff zu erlangen, hab ich mich gefragt ob es möglichkeiten gibt eine IP-Adresse automatisch nach 3 Fehleingaben für eine gewisse Zeit bannen zu lassen. Am besten wäre es, wenn es z.B. mit ssh Fehleingaben gab, auch kein Zugriff auf andere Ports mehr möglich ist. Vielleicht sogar über iptables alles dicht machen oder so. Also ich verwende 'man 8 faillog' Aber aufpasse, denn das funktioniert auch bei root ;-) MFG Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: IP adresse nach Fehllogin Bannen?
Hi! * XP-Webdesign [EMAIL PROTECTED]: da ich in letzter Zeit festgestellt habe das immer wieder einige script kiddies es versuchen per Login/passwort Kombination ssh oder FTP Zugriff zu erlangen, hab ich mich gefragt ob es möglichkeiten gibt eine IP-Adresse automatisch nach 3 Fehleingaben für eine gewisse Zeit bannen zu lassen. Am besten wäre es, wenn es z.B. mit ssh Fehleingaben gab, auch kein Zugriff auf andere Ports mehr möglich ist. Vielleicht sogar über iptables alles dicht machen oder so. ich habe mal bei der Suche nach dem gleichen Problem das hier gefunden: http://blog.andrew.net.au/2005/02/17 Klappte aber nicht auf anhieb und ich glaube du brauchst dafuer den recent Patch. Zum Thema Netfilter-Patches steht hier mehr: http://www.netfilter.org/documentation/HOWTO/de/netfilter-extensions-HOWTO.html Viel erfolg! Stefan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IP adresse nach Fehllogin Bannen?
Am Freitag, den 04.03.2005, 18:00 +0100 schrieb Stefan Muthers: Hi! * XP-Webdesign [EMAIL PROTECTED]: da ich in letzter Zeit festgestellt habe das immer wieder einige script kiddies es versuchen per Login/passwort Kombination ssh oder FTP Zugriff zu erlangen, hab ich mich gefragt ob es möglichkeiten gibt eine IP-Adresse automatisch nach 3 Fehleingaben für eine gewisse Zeit bannen zu lassen. Am besten wäre es, wenn es z.B. mit ssh Fehleingaben gab, auch kein Zugriff auf andere Ports mehr möglich ist. Vielleicht sogar über iptables alles dicht machen oder so. ich habe mal bei der Suche nach dem gleichen Problem das hier gefunden: http://blog.andrew.net.au/2005/02/17 Klappte aber nicht auf anhieb und ich glaube du brauchst dafuer den recent Patch. Zum Thema Netfilter-Patches steht hier mehr: http://www.netfilter.org/documentation/HOWTO/de/netfilter-extensions-HOWTO.html Viel erfolg! Stefan Hey, das ist klasse, da könnte man vielleicht sogar ne eigene CHAIN machen z.b. TIMEBAN oder so, und alle services so einstellen das sie auf diese verweisen. Die Chain arbeitet das dann ab. Danke Stefan, das war auf jeden Fall ein sehr guter Anreiz! Michael -- XP-Webdesign [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IP adresse nach Fehllogin Bannen?
ja hallo erstmal,.. Am Freitag, 4. März 2005 17:40 schrieb Andreas Kretschmer: XP-Webdesign [EMAIL PROTECTED] schrieb: Wer? http://ars.userfriendly.org/cartoons/?id=19971206 HI Liste, da ich in letzter Zeit festgestellt habe das immer wieder einige script hatten wir das heute nicht schon einmal? Ehem: wget http://www.xp-webdesign.de/ --23:06:04-- http://www.xp-webdesign.de/ = `index.html.1' Auflösen des Hostnamen »www.xp-webdesign.de« 212.227.118.66 Verbindungsaufbau zu www.xp-webdesign.de[212.227.118.66]:80... verbunden. HTTP Anforderung gesendet, warte auf Antwort... 403 23:06:05 FEHLER 403: (keine Beschreibung). Amüsanter Laden. Ich sage dazu nur: http://ars.userfriendly.org/cartoons/?id=20030708 oder auch Keep smiling yanosz
Re: IP adresse nach Fehllogin Bannen?
XP-Webdesign wrote: Am Freitag, den 04.03.2005, 18:00 +0100 schrieb Stefan Muthers: Hi! * XP-Webdesign [EMAIL PROTECTED]: da ich in letzter Zeit festgestellt habe das immer wieder einige script kiddies es versuchen per Login/passwort Kombination ssh oder FTP Zugriff Hallo, auch wenn ich noch keinen schimmer habe wie man das umsetzt habe ich mal gelesen das derjenige seinen Rechner per Mobiltelefon anruft (absender nummer überprüft) um dann sshd oder sonstiges zu starten und um dann in den Rechner zu kommen! Wenn auch paranoid gar keine schlechte idee wie ich finde! Gruß Florian -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)