IP Adressen melden (Port-Scans, Bruteforce, usw.)?

#1
Hallo,

Habe eine generelle Frage, nachdem mein Server seit einiger Zeit "den Gefahren" vom Netz ausgeliefert ist:
Meldet ihr die IP Adressen die oft in der Firewall Log vorkommen? Macht das überhaupt einen Sinn?

Derzeit habe ich nur ein kleines Python Script geschrieben, das eine Statistik ausgibt:
Code:
$ tcpdump -n -e -s 160 -ttt -r /var/log/pflog | ./pf_stat.py                                                          
--------------------------------------
-  PF Statistic
--------------------------------------
Total blocks     : 5774
Total blocked IPs: 2422
--------------------------------------
TOP blocked IPs
--------------------------------------
59.56.76.168   : 1939 times
51.15.86.40    : 66 times
77.72.82.80    : 65 times
77.72.82.177   : 42 times
91.247.38.64   : 27 times
191.101.167.235: 26 times
51.15.7.46     : 24 times
216.158.238.186: 23 times
5.188.10.108   : 20 times
185.94.111.1   : 20 times
185.55.218.128 : 16 times
92.42.107.139  : 15 times
94.142.141.64  : 14 times
103.192.119.73 : 13 times
80.82.70.133   : 13 times
111.164.250.33 : 13 times
164.132.120.82 : 13 times
163.172.209.2  : 12 times
77.72.85.100   : 12 times
51.15.83.186   : 12 times
--------------------------------------
TOP blocked ports
--------------------------------------
7719 : 1939 times
445  : 1009 times
23   : 759 times
1433 : 213 times
22   : 211 times
5060 : 148 times
53413: 114 times
3389 : 73 times
3306 : 67 times
2323 : 52 times
1900 : 46 times
123  : 38 times
8545 : 36 times
8080 : 36 times
21   : 32 times
11029: 30 times
25   : 24 times
81   : 24 times
9000 : 19 times
53   : 16 times
$
Würdet ihr z.B. die IP Adresse 59.56.76.168 beim Abuse E-Mail Kontakt melden?
 
#2
Melden bringt meist wenig bis gar nichts, erst recht nicht bei IPs aus China. Blocke die IPs in deiner Firewall und gut. Bei den Chinesen kannst du auch gleich die ganze Range des Provider-Blocks blockieren (also 59.56.0.0/14 und 59.60.0.0/15), vorausgesetzt natürlich, dass du nicht auf Traffic aus China angewiesen bist.

Bei Servern mit dedizierten Adressen (z.B. die zweite, also 51.15.86.40 aus Frankreich), kann es aber durchaus Sinn machen sie zu melden. Denn oft laufen darauf dann einfach irgendwelche Bots, die die Hoster natürlich auch nicht in ihrem Netzwerk haben wollen. Ist also eher eine Frage von: "Will ich dem Provider helfen, selbst wenn er zu blöd ist Bot-Traffic in seinem Netzwerk zu erkennen?"

Insgesamt ist es aber eine Ermessensfrage. Ich melde zumeist nur Angriffsversuche von Server-IPs aus Europa an das jeweilige Abuse-Team und sende denen dann meine IDS-Logs dafür mit. Den Rest blockiere ich einfach mittels Firewall.
 
#3
Eigentlich recht interressant die Logs vom Webserver. Insbesondere die Versuche irgendwelche PHP Scripst aufzurufen. Top Eins ist phpmyadmin.

Habe schon gedacht, das jeweilige Script zu erstellen, das "Sorry guys, nothing there." ausgibt, oder ähnlich. :D
Muss mir das echt überlegen. Spaß machen würde es. :D

Will jetzt keinen eigenen Thread erstellen...Kennt wer eine gutes IDS für OpenBSD?
Habe derzeit keine am Laufen. Eigentlich reicht mir PF, aber eine zu herumprobieren und hineinschnuppern wäre recht toll.
 
#4
OSSEC läuft auch auf OpenBSD. Die Frage ist aber halt, ob du ein HIDS oder ein NIDS haben willst. OSSEC ist ein HIDS und optimal um Logs auszuwerten, Änderungen am System zu überwachen u.ä.. Rulesets für klassische Webserver sind gleich mit dabei. Willst du eher ein NIDS, solltest du dir Snort anschauen.
 
#5
Danke! Werde mir beide anschauen. Ein HIDS würde ich bevorzugen. Optimal wäre wenn das IDS auch geliczeitig ein IPS wäre. Also nicht nur die Logdateien und Systemkonfiguartion überwacht sondern auch in bestimmten Fällen einen (einfachen) Einbruch erkennt und auch verhindert (z.B.: die Angreifer IP Adresse sperrt.). Optimal wäre auch wenn das IDS beliebig mit z.B.: Scripts erweiterbar ist.
 
#6
OSSEC verfügt über Active Response, womit du Aktionen bei Alerts triggern kannst und mittels sogenannter Integrations, kannst du es auch erweitern. Wobei in den meisten Anwendungsfällen auch einfache Custom Rules reichen.
 
Oben