|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
|
|
Von Anonymer Feigling am Sunday 19. February 2006, 21:19 MEW (#1)
|
|
|
|
|
ich setze immer das python tool "fail2ban ein ...
ist ne alternative ;)
arbeitet einfach per "route reject"
;)
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 20. February 2006, 18:10 MEW (#18)
|
|
|
|
|
Jupp, fail2ban setzen wir hier auch ein.
Ist schmerzlos aufzusetzen und funktioniert
auch gut, wenn schon andere Firewall-Regeln
vorhanden sind.
|
|
|
|
|
|
|
|
|
|
|
|
|
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
--
Bahnübergänge sind die härtesten Drogen der Welt.
Ein Zug und du bist weg!
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 20. February 2006, 07:05 MEW (#6)
|
|
|
|
|
Den IPtables Dropper verwende ich auch schon seit längerer Zeit sehr erfolgreich. Die vereinzelten SSH Attacken stammen jetzt meistens aus Polen, weil ich zusätzlich den KRFILTER von http://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/index-e.jsp
eingerichtet habe. Früher waren es Tausende einzelne Loginversuche pro Tag, mit dem Chinesenfilter sind es nur noch 2-3!! Ich hatte einfach keine Lust mehr auf den Müll im Log, und Leser/Kunden/Hacker aus Asien brauchen wir sowieso keine auf unseren Servern.
Es gibt auch noch eine ganz coole Lösung mit IPTABLES, bei der man zuerst anklopfen (http://en.wikipedia.org/wiki/Port_knocking) muss, finde ich auch recht elegant.
http://www.debian-administration.org/articles/268
Dabei sollte man darauf achten, dass man die Ports nicht auf Portsentry-Ports legt, falls es installiert ist :-)
|
|
|
|
|
|
|
|
|
|
|
|
|
Mit diesen Rules sperrst Du Dich selbst aus, wenn Du SCP verwendest. SCP öffnet für jede Datei eine neue Verbindung.
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich verwende Denyhosts seit 2-3 Wochen und bin damit sehr zufrieden.
Da lediglich die hosts.deny benutzt wird kann man es auch problemlos auf vservern einsetzen, auf denen man weder mit iptables noch mit route arbeiten kann.
|
|
|
|
|
|
|
titel (Score:2, Tiefsinnig)
|
|
|
|
|
|
|
|
es wäre weitaus korrekter, von einer erschwerung zu reden - gegen ein botnetz hat diese lösung keine chance.
ihr seid alles kranke kinder --- www.zooomclan.org
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 20. February 2006, 02:43 MEW (#5)
|
|
|
|
|
Die meisten von uns benutzen einen Provider,
der uns jeweils nur eine dynamische IP zuweisst,
es ist also durchaus möglich, dass sollte
der Angriff über einen oder mehrere Bots
erfolgen, welche bei dem gleichen Provider sind,
kann es also sein, dass man sich selbst aussperrt,
man kann einen ähnlichen Effekt auch beobachten,
wenn man wie ich via t-online/reseller online
geht, und sich in dem Moment den Incomming-Traffic anguckt,
ganz selten aber immer noch Blaster und Konsorten
(Abstand 5-20 min)
jedoch hämmern im 0,3 Sekundentakt Anfragen von
Emule-Clients ein, dass ist wie ein kräftiger
Sommerregen, und der Witz ist, dass lässt auch nach einer Stunde nicht nach.
|
|
|
|
|
|
|
|
|
|
|
|
|
sshd generell auf einen ganz anderen Port als 22 setzen. Zudem eine IP Adresse verwenden, welche möglichst nirgends im DNS steht.
/maba
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 20. February 2006, 10:21 MEW (#10)
|
|
|
|
|
Zum Beispiel 127.89.123.14?
|
|
|
|
|
|
|
|
|
|
|
|
|
bis einer mit amap kommt....
|
|
|
|
|
|
|
|
|
|
|
|
|
Zudem eine IP Adresse verwenden, welche möglichst nirgends im DNS steht.
Bogus. Jede IP die benutzt wird soll gefälligst vorwärts wie rückwärts auflösen. Und ausserdem ist das wenn sie es nicht tut eine sichere Methode um zu verhindern dass andere Server Mail von einem akzeptieren oder auch IRC-Server einem nicht reinlassen. Und das zu recht.
Tut ich auch, mir schickt so eine Schweinerei die nicht auflöst weder Mail noch darf die den IRC-Server benutzen.
--
"The more prohibitions there are, The poorer the people will be"
-- Lao Tse
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 20. February 2006, 17:38 MEW (#17)
|
|
|
|
|
Na ja, ich glaube es gibt sehr viele Rechner auf der Welt die weder IRC noch Mail brauchen. Letzteres wird ja meist auch nur fuer Logs oder evtl. Alerts missbraucht. Das kann man genauso gut per SSH oder was auch immer loesen. Dann liest auch das BKA nicht mit.
|
|
|
|
|
|
|
|
|
|
|
|
|
Warum werden da immer wieder Scripte gehackt, wenn es da ein PAM-Modul für gibt:
http://www.hexten.net/pam_abl/
--
ok> boot net - install
|
|
|
|
|
|
|
|
|
|
|
|
|
...am besten noch AllowUsers setzen, dann kann man noch so viele dictionaries verwenden, mir gehts dann am A**** vorbei! ;)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ist nur nicht sehr hilfreich für den berümten "Internet-Cafe-Fall", oder willst du da deinen USB-Stick mit Key mitschleppen? Und dann? Den Key etwa auf den Rechner kopieren??
--
ok> boot net - install
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 20. February 2006, 17:34 MEW (#16)
|
|
|
|
|
Im Internet-Cafe findest du sowieso keinen vertrauenswuerdigen Endpunkt. Selbst wenn du OPIE nutzen wuerdest, koennte der Host nach dem Login machen, was er will bzw. was dein Account zulaesst.
Ok, bei einem extrem eingeschraenkten Account kann das sinnvoll sein. Ansonsten musst du sowieso deinen PDA oder Laptop nutzen und kannst dann damit ins Internet-Cafe gehen oder einen sonstigen Access-Point nutzen.
Ich finde Keys eh nicht wirklich toll. Wenn ich die immer mit mir herumschleppe empfinde ich die Gefahr, dass sie in falsche Haende geraten eher hoeher ein als normal. Allerdings kann ich auch gut darauf verzichten mich von ausserhalb zuhause einzuloggen.
|
|
|
|
|
|
|
|
|
|
|
|
|
Tja, das ist der Unterschied zur beruflichen Nutzung. Da kann es durchaus mal nötig sein, sich über I-Cafe zu melden. Ok, ist die Ausnahme, aber Gründe gäbe es da schon.
--
ok> boot net - install
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 20. February 2006, 20:00 MEW (#20)
|
|
|
|
|
Jo, aber gerade wenn es um berufliche Daten geht, wuerde ich mich sicher nicht an einem nicht vertrauenswuerdigen Geraet einloggen.
|
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 20. February 2006, 21:02 MEW (#21)
|
|
|
|
|
Ich freue mich drauf, wenn Leute ips spoofen, dann viel spaß mit denyhosts :)
|
|
|
|
|
