Hello,

heute Nacht ist eine der von mir betreuten Webseiten angegriffen worden. Als vermeintlicher Verursacher konnte

NetRange:       74.119.232.0 - 74.119.235.255
CIDR:           74.119.232.0/22
OriginAS:       AS46506, AS16626
NetName:        SIMPLEHELIX
NetHandle:      NET-74-119-232-0-1
Parent:         NET-74-0-0-0-0
NetType:        Direct Allocation
Comment:        http://www.simplehelix.com

festgestellt werden. Habe ich da irgend eine Chance, etwas zu tun?

Und das ist dir jetzt tatsächlich das erste Mal passiert!?
So etwas kommt bei meinen Servern 20 - 30 Mal am Tag vor. Überwiegend von IP Adressen in China und Russland. Aber auch von allen möglichen "gekaperten Rechnern" around the world.

Für solche "Versuche" gibt es bspw. fail2ban.

Ist fail2ban wirklich gegen die gezeigten Versuche wirksam, oder doch eher gegen die (nachfolgend|parallel) erwarteten Anmeldeversuche beim Host?

Ich halte es für nicht sinnvoll, auf das Problem nur "Medizin" zu schütten, ohne dem eigentlichen Szenario weitere Bedeutung beizumessen.

Mir geht es darum:

• Was kann man gegen solche Angriffe tun? (Auswertung der Angiffe, Prävention)
• Wie kann man solche Angriffe verfolgen? (Verursacher feststellen)

Unserem Sytem ist hier nichts weiter geschehen, aber ich habe dennoch geschaut, ob nicht einer der Versuche (ggf. in anderem Kontext, den ich hier gewiss nicht veröffentlichen möchte) hätte Erfolg haben können.

Die erfolgreichen Angriffe laufen aber ganz anders. Meine Sammlung hierzu wächst nur noch langsam...

Einige davon habe ich hier in meiner jahrelangen Dummheit ja schon geschildert :-O

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg