TS: 06:25 CET

Hallo und guten Morgen,

06:25 CET ca. 25 Sekunden lang, ca. 77 Bans [recidive]
Hauptsächlich Chinesen, aber auch br und ru.

Kann man das schon als distributet attack bezeichnen?
Sonst habe ich ca. 7 Kandidaten pro Tag für die Vollsperrung.
Da habe ich wohl das Filter gerade rechtzeitig eingebaut. Sonst könnten die nach einer Stunde schon wieder von vorne anfangen.

Nächste Aktion auf jeden Fall ein iptables-Log, damit ich sehen kann, wer schon dropped wird und es trotzdem immer wieder versucht. Weiß nur noch nicht genau, wie das realisiert werden kann.

Grüße
TS

--
es wachse der Freifunk
http://freifunk-oberharz.de
  1. Tach!

    Kann man das schon als distributet attack bezeichnen?

    Einmal ist Missgeschick, zweimal ist Zufall, dreimal ist feindlicher Angriff.

    Nächste Aktion auf jeden Fall ein iptables-Log, damit ich sehen kann, wer schon dropped wird und es trotzdem immer wieder versucht. Weiß nur noch nicht genau, wie das realisiert werden kann.

    Du musst ja viel Zeit haben, dass du dich so lange mit denen beschäftigen kannst. Was machst du dann mit dem gewonnenen Wissen?

    dedlfix.

    1. Hallo und guten Morgen,

      Kann man das schon als distributet attack bezeichnen?

      Einmal ist Missgeschick, zweimal ist Zufall, dreimal ist feindlicher Angriff.

      Es sind dann schon 3 x 6 Fehlversuche...

      Nächste Aktion auf jeden Fall ein iptables-Log, damit ich sehen kann, wer schon dropped wird und es trotzdem immer wieder versucht. Weiß nur noch nicht genau, wie das realisiert werden kann.

      Du musst ja viel Zeit haben, dass du dich so lange mit denen beschäftigen kannst. Was machst du dann mit dem gewonnenen Wissen?

      gucken, woher sie stammen und sich wundern. Inländische sind fast nicht dabei, soweit man das eben aufgrund der IP-Ranges sagen kann.

      Grüße
      TS

      --
      es wachse der Freifunk
      http://freifunk-oberharz.de
    2. Hallo und gute Nacht Dedlfix,

      Du musst ja viel Zeit haben, dass du dich so lange mit denen beschäftigen kannst. Was machst du dann mit dem gewonnenen Wissen?

      z. B. eben gerade

      was mich schon zum Nachdenken anregt. Jedenfalls sieht es doch soi aus, als hätte "mal eben" einen Ubuntu.Host aufgesetzt und könnte jetzt auch selber attackierbar sein mit den üblichen Methoden. Vieleicht sollte man das mal öffentlich umsetzen, um zumindest die Script-Kiddies loszuwerden? Neee- nicht wirklich, aber jucken tut's schon...

      Grüße
      TS

      --
      es wachse der Freifunk
      http://freifunk-oberharz.de
      1. Tach!

        z. B. eben gerade

        was mich schon zum Nachdenken anregt. Jedenfalls sieht es doch soi aus, als hätte "mal eben" einen Ubuntu.Host aufgesetzt und könnte jetzt auch selber attackierbar sein mit den üblichen Methoden.

        Kann sein. Vielleicht ist das ja ein gehackter Server. Gehackt, assimiliert und zum Hack-Werkzeug umfunktioniert. Würde mich aber trotzdem nicht weiter interessieren. Ist nicht mein Server, also untersuch ich den auch nicht. Was soll ich denn dann auch tun, wenn ich da was erkenne? In Besitz nehmen wohl kaum.

        dedlfix.

        1. Hallo und gute Nacht,

          Ist nicht mein Server, also untersuch ich den auch nicht. Was soll ich denn dann auch tun, wenn ich da was erkenne? In Besitz nehmen wohl kaum.

          stimmt auch.

          Also nur im Auge behalten, ob die IP weiterhin nervt. Und DAS geht eben nur, wenn man die Dropped Requests logged und auswertet. Das war ja deine Frage, was ich damit will. Ich will sie dann ggf. nach einer gewissen Zeit veröffentlichen!

          Grüße
          TS

          --
          es wachse der Freifunk
          http://freifunk-oberharz.de
          1. Also nur im Auge behalten, ob die IP weiterhin nervt. Und DAS geht eben nur, wenn man die Dropped Requests logged und auswertet. Das war ja deine Frage, was ich damit will. Ich will sie dann ggf. nach einer gewissen Zeit veröffentlichen!

            Gibts schon. Schon mal was von Blocklist.de gehört?

            Ich lasse 3x am Tag die Listen abholen und in die Firewall einpflegen. Seit dem gibt es auf den von mir überwachten Servern deutlich weniger Streß.

  2. Ich würde da aber irgendwann auch mal mit htop & Co. nachsehen, ob das ganze "Nachsehen und Nachrechnen" nicht zu viel der Leistung schluckt. Nicht dass sich Dein eigenes Zeug wie eine massive DDoS-Attacke auswirkt...

    Ein ganz normaler Tag:

    Alternativ-Text

    1. Hallo und guten Tag,

      Ich würde da aber irgendwann auch mal mit htop & Co. nachsehen, ob das ganze "Nachsehen und Nachrechnen" nicht zu viel der Leistung schluckt. Nicht dass sich Dein eigenes Zeug wie eine massive DDoS-Attacke auswirkt...

      Ja, danke. Man soll solche Ratschläge durchaus ernst nehmen. Aber fail2ban besitzt alktuell c. 1.7% des Speichers und keine messbare CPU-Last. Ich denke, dass ich da noch Luft habe ;-)

      Ein ganz normaler Tag:

      Alternativ-Text

      Ja mal gerade einen [recidive]-Eintrag in vier Stunden.

      Ich hatte heute Nacht knapp 80 innerhalb von ca. 25 Sekunden. Die normalen temporären Sperren kommen dann hinzu.

      proftpd habe ich abgestellt. Das ist zu unsicher. Das hat zuviele Angriffsmöglichkeiten auf der Strecke. Oder hast Du da eine SSL/TLS-Variante?

      Grüße
      TS

      --
      es wachse der Freifunk
      http://freifunk-oberharz.de
      1. Ist nicht mein Server. Ich überwache nur. Verwaltet wird das Ding mit froxlor...

        Oder hast Du da eine SSL/TLS-Variante?

        Für mich selbst nehme ich ssh/scp/sftp.