Hallo Stephan,
* Stephan Schmidt [EMAIL PROTECTED] [20050823 19:13]:
Nur was bedeuten die alle? Denn hitcount gibts in den manpages nicht.
Könntest du das kurz umreissen?
Dokumentation findest du mit iptables -m recent --help.
Wenn man bei dem Modul mal durchblickt ist es sehr nützlich, siehe
On Thu, Aug 25, 2005 at 09:08:16AM +0200, Felix M. Palmen wrote:
Hallo Felix,
Dokumentation findest du mit iptables -m recent --help.
Wenn man bei dem Modul mal durchblickt ist es sehr nützlich, siehe z.B.
auch meine Regeln, die Zugriffe auf meinen (m)identd nur smtp- und
irc-servern auf die
Hallo Sven,
* Sven Hoexter [EMAIL PROTECTED] [20050825 13:53]:
Hm das bringt Dir genau welchen Vorteil? Ich wueste jetzt nicht warum ich
den Zugriff auf einen Dienst wie ident beschraenken sollte.
Aus exakt demselben Grund, aus dem man auch andere Einschränkungen
vornimmt: Es soll nur das
On Mon, Aug 22, 2005 at 10:40:52AM +0200, Felix M. Palmen wrote:
Hi Felix,
Mit dem recent Modul von netfilter ist das in etwa möglich, siehe die
NOBF-Chain in meiner netfilter-Konfiguration unter
http://www.akk.org/~zorg/config/iptables. Diese Chain wird für alle
neuen Pakete an den SSH-Port
On 2005-08-23 19:13:06 +0200, Stephan Schmidt wrote:
[iptables' recent Modul]
Nur was bedeuten die alle? Denn hitcount gibts in den manpages nicht.
Könntest du das kurz umreissen?
In der Manpage zu iptables ist das recent Modul leider nicht
beschrieben. Man findet aber eine Manpageabschnitt
Hallo Andreas,
* Andreas Appenheimer [EMAIL PROTECTED] [20050731 10:29]:
Frage(n):
* Wie gefährlich sind diese Attacken wirklich?
Bei vernünftig gewählten Passwörtern würde ich sagen: Nicht gefährlich.
* Ist es sinnvoll an den jeweiligen [EMAIL PROTECTED] 'ne Meldung zu schicken?
Ist mir
* Ist es sinnvoll bzw. überhaupt möglich solche IPs zu
bannen/blocken(quasi als Sanktion)?
Möglich klar, aber sinnvoll: nein.
Grund: Solche IPs sind in den meisten Fällen dynamische IPs. Das bedeutet,
wenn Du jetzt die IP 1.2.3.4 sperrst, dann hat der Angreifer bei der
nächsten Einwahl
Hallo Tom,
* Tom Schmitt [EMAIL PROTECTED] [20050822 11:52]:
* Ist es sinnvoll bzw. überhaupt möglich solche IPs zu
bannen/blocken(quasi als Sanktion)?
Möglich klar, aber sinnvoll: nein.
Grund: Solche IPs sind in den meisten Fällen dynamische IPs. Das bedeutet,
wenn Du jetzt die
On Mon, 22 Aug 2005 11:52:12 +0200 (MEST)
Tom Schmitt [EMAIL PROTECTED] wrote:
* Ist es sinnvoll bzw. überhaupt möglich solche IPs zu
bannen/blocken(quasi als Sanktion)?
Möglich klar, aber sinnvoll: nein.
Grund: Solche IPs sind in den meisten Fällen dynamische IPs. Das
bedeutet, wenn
* Andreas Appenheimer:
* Ist es sinnvoll bzw. überhaupt möglich solche IPs zu
bannen/blocken(quasi als Sanktion)?
Nachtrag für Faule: In sid gibts dafür seit kurzem das Paket fail2ban.
Grüße,
Andreas
--
You will inherit millions of dollars.
--
Haeufig gestellte Fragen und Antworten (FAQ):
Andreas Kroschel [EMAIL PROTECTED] wrote:
* Andreas Appenheimer:
* Ist es sinnvoll bzw. überhaupt möglich solche IPs zu
bannen/blocken(quasi als Sanktion)?
Nachtrag für Faule: In sid gibts dafür seit kurzem das Paket fail2ban.
Ist es das, was Michelle vorgeschlagen hat?
Guten Start in die
* Joerg Sommer:
Nachtrag für Faule: In sid gibts dafür seit kurzem das Paket
fail2ban.
Ist es das, was Michelle vorgeschlagen hat?
So in der Art; mit einem Dämon, der /var/log/auth.log beobachtet. Von
den Abhängigkeiten her sollte es sich auch unter sarge installieren
lassen.
Grüße,
Hallo Joern,
hallo Liste.
[..]
Derzeit hab ich ein kleines Shell-Skript geschrieben, was
Teil a) mir die Auszüge der Logs bei Angriffen zusendet
Teil b) über gwhois dann den jeweiligen ISP ermittelt, nebst
herausgefilterten Emailadresse(n) und dann an diesen mit ner
entsprechenden Mitteilung
Hallo Liste,
Angekündigte Skripte:
klar, warum nicht. Kannst du mir das Script mal zumailen? Würde mich
auch mal interessieren.
bin derzeit etwas in Stressl :-)
[..]
Ich denke, ich werde mich heute abend an die Überarbeitung des Skriptes
setzen es dann hier posten :-)
Meine Lösungen sind
Hallo Liste,
es fehlt jetzt nur noch, das ich mir via cronjob die logs zusenden lasse:
[send_logs.sh]---
#!/bin/bash
grep Failed password /var/log/auth.log | mail [EMAIL PROTECTED] -sFailed
password on antares
[ende send_logs.sh]--
so long
Andreas
--
Haeufig
Hallo Welt,
in letzter Zeit häufen sich wieder die SSH-BruteForce Attacken und ich
bin darüber ziemlich abgenervt. Hauptgrund wahrscheinlich, weil einer
meiner Root-Server mal über ein php-Forum von einem meiner Kunden
gehackt wurde und der Angreifer es geschafft ein rootkit zu installieren
On Sun, Jul 31, 2005 at 10:29:36AM +0200, Andreas Appenheimer wrote:
in letzter Zeit häufen sich wieder die SSH-BruteForce Attacken und ich
bin darüber ziemlich abgenervt. Hauptgrund wahrscheinlich, weil einer
meiner Root-Server mal über ein php-Forum von einem meiner Kunden
gehackt wurde und
Also sprach Andreas Appenheimer [EMAIL PROTECTED] (Sun, 31 Jul 2005
10:29:36 +0200):
Hallo Welt,
in letzter Zeit häufen sich wieder die SSH-BruteForce Attacken und ich
bin darüber ziemlich abgenervt. Hauptgrund wahrscheinlich, weil einer
meiner Root-Server mal über ein php-Forum von einem
Ulf Volmer schrieb:
* Ist es sinnvoll bzw. überhaupt möglich solche IPs zu
bannen/blocken(quasi als Sanktion)?
Automatisch? Ohne echte User auszusperren? Nein.
Manuell läßt sich schon was machen, zumindest wenn du unterstellst, daß
deine User selten Urlaub in Korea machen.
An der
Moin Andreas,
Am 2005-07-31 10:29:36, schrieb Andreas Appenheimer:
Hallo Welt,
in letzter Zeit häufen sich wieder die SSH-BruteForce Attacken und ich
bin darüber ziemlich abgenervt. Hauptgrund wahrscheinlich, weil einer
meiner Root-Server mal über ein php-Forum von einem meiner Kunden
Richard Mittendorfer schrieb:
Frage(n):
* Wie gefährlich sind diese Attacken wirklich?
[..] allerdings sind sie laesstig und deswegen
verwende ich mittlerweile einen knockdaemon oder binde ssh an einen
anderen port oder verwende x6g89t5f als user und 7^!A-Bd# als pass ;)
anderer Port, auch
Andreas Appenheimer [EMAIL PROTECTED] schrieb:
Richard Mittendorfer schrieb:
Frage(n):
* Wie gefährlich sind diese Attacken wirklich?
[..] allerdings sind sie laesstig und deswegen
verwende ich mittlerweile einen knockdaemon oder binde ssh an einen
anderen port oder verwende x6g89t5f
Moin Michelle,
[..] php-Forum von einem meiner Kunden
gehackt wurde und der Angreifer es geschafft ein rootkit zu installieren.
C'est la vie!
:)
Frage(n):
* Wie gefährlich sind diese Attacken wirklich?
Ich habe pro Tag 5-200 Dictionary Attacken auf meinen SSH.
Seit gut 1 1/2 Jahren.
Moin Andreas,
[..]
Frage(n):
* Wie gefährlich sind diese Attacken wirklich?
[..] allerdings sind sie laesstig und deswegen
verwende ich mittlerweile einen knockdaemon oder binde ssh an einen
anderen port oder verwende x6g89t5f als user und 7^!A-Bd# als pass ;)
anderer Port, auch 'ne gute Idee!
Am 2005-07-31 12:08:54, schrieb Andreas Appenheimer:
Moin Michelle,
[..] php-Forum von einem meiner Kunden
gehackt wurde und der Angreifer es geschafft ein rootkit zu installieren.
C'est la vie!
:)
Frage(n):
* Wie gefährlich sind diese Attacken wirklich?
Ich habe pro Tag 5-200
On 2005-07-31 10:29:36 +0200, Andreas Appenheimer wrote:
Hallo Welt,
in letzter Zeit häufen sich wieder die SSH-BruteForce Attacken und ich
bin darüber ziemlich abgenervt. Hauptgrund wahrscheinlich, weil einer
meiner Root-Server mal über ein php-Forum von einem meiner Kunden
gehackt wurde
On Sun, 31 Jul 2005, Andreas Appenheimer wrote:
in letzter Zeit häufen sich wieder die SSH-BruteForce Attacken und ich
bin darüber ziemlich abgenervt.
naja, es ist nicht schön, aber es sollte auch den Blutdruck nicht
hochtreiben.
Hauptgrund wahrscheinlich, weil einer
meiner Root-Server
On Sun, 31 Jul 2005, Andreas Appenheimer wrote:
Bei SSH sollte man besser mit Keys arbeiten und Pwd- Login abschalten.
Ah.. Danke.. das wollt ich eh noch machen. Wobei SSH lediglich von
weniger als einer Handvoll genutzt wird/bereit steht. Die meisten haben
reine FTP/POP-Accounts.
...was
On Sun, 31 Jul 2005, Andreas Appenheimer wrote:
Je weniger technisches Verständnis vorhanden ist, desto größer die
Empörung. Nach 'nem Telefonat ist das allerdings schnell geklärt.
Ich verweise in den Fällen Dann geh' ich eben zu 'nem anderen
Provider! auf die AGBs der jeweiligen, worin
Also sprach Andreas Appenheimer [EMAIL PROTECTED] (Sun, 31 Jul 2005
11:40:57 +0200):
Richard Mittendorfer schrieb:
Frage(n):
* Wie gefährlich sind diese Attacken wirklich?
[..] allerdings sind sie laesstig und deswegen
verwende ich mittlerweile einen knockdaemon oder binde ssh an einen
Andreas Appenheimer [EMAIL PROTECTED] wrote:
[SSH-Angriffe]
Es erinnert mich aber irgendwie an die früheren Zeiten kurz nach
Fidonet, wo man noch bei SPAM an die abuses gemailt hat oder sich
zusammen gerottet hat und Teergruben baute.
Guter Einwand. Gibt es eigentlich für SSH Teergruben?
Moin!
On Sun, Jul 31, 2005 at 10:29:36AM +0200, Andreas Appenheimer wrote:
[siehe Topic]
Gibt es eigentlich irgendwo eine Liste der Benutzernamen, die da
ausprobiert werden? Ich war neulich nicht wenig überrascht, als ich im
Log zwei 'normale' Benutzernamen fand, über die ein Einbruch
Hi!
Gibt es eigentlich irgendwo eine Liste der Benutzernamen, die da
ausprobiert werden? Ich war neulich nicht wenig überrascht, als ich im
Genauso wie es Listen mit Passwörtern gibt:
ftp://ftp.openwall.com/pub/wordlists/
wird es auch welche mit beliebten Benutzernamen geben.
Meistens sind
33 matches
Mail list logo
