Liebe Mitdenker,
liebe Wissende,
liebe Neugierige,
ich will mal ein paar Erfahrungswerte mitteilen und auch Eure Meinungen und fachlichen Tipps erbitten:
vor einiger Zeit wurde es auf unseren Servern zu bunt mit ssh-Angriffen und ähnlichen Versuchen, unberechtigt in den Server zu kommen. Ich habe daher zuerst fail2ban installiert. Das leistet schon eine Menge.
Als zweite Maßnahme habe ich dann ein Skript erstellt, dass regelmäßig das fail2ban.log auswertet und wiederkehrende Angreifer per iptables vollkommen aussperrt. Das leistet nun auch seinen Dienst. Seitdem sind die Chinesen erheblich weniger geworden.
Noch offen sind die echten Trickser, die nur im auth.log auflaufen. Die legen es nicht erst darauf an, im fail2ban-log aufzulaufen, sondern wählen die Zugriffe und die IPs aus ihrem Netzsegment so, dass fail2ban sie nicht registiert. das steht also noch auf dem Zettel.
Anders dieser Hansel hier:
IP | Zugriffe
43.229.52.137 | 1
43.229.52.140 | 2
43.229.52.141 | 2
43.229.52.147 | 1
43.229.52.151 | 1
43.229.52.162 | 2
43.229.52.164 | 1
43.229.52.165 | 3
43.229.52.166 | 1
43.229.52.171 | 1
43.229.52.181 | 1
43.229.52.184 | 2
43.229.52.185 | 1
43.229.52.186 | 1
43.229.52.191 | 1
43.229.52.193 | 1
43.229.52.199 | 1
43.229.52.200 | 1
ca. 20 mehr, innerhalb von ca. 10 Stunden.
Mit irgendeinem Whois ließ sich dann das Netz auch ermitteln (das normale auf unseren Linux-Hosts hat leider keinen Eintrag ermitteln können). Ein Netz aus Honkong. Da wir da keine Kunden haben, habe ich sie nach Rücksprache mit Chefchen auch ausgesperrt.
Nun endlich meine Fragen:
Kann das sein, dass durch das Aussperren erst die Attraktivität der Hosts erhöht wird in gewissen Kreisen? Haben die informelle Netze, in denen der Eine dem Anderen sagt: da musst du mal gukcen, die lassen mich nicht mehr rein?
Sollte ich generell unser Skript erweitern, dass es auch diese Häufungen innerhalb eines Netzes automatisch aussperrt und wie weit sollte ich dabei gehen? Unsere eigenen IPs von den Standorten habe ich schon mal sicherheitshalber auf eine Sonderfunktion gelegt g
Spirituelle Grüße
Euer Robert
robert.r@online.de
--
Möge der wahre Forumsgeist ewig leben!