ips zeitweise sperren

lightsaver

lightsaver

0
hi,

seit einigen tagen habe ich auf einem server, den ich zum lernen habe, in den apache-logs etliche aufrufe von nicht vorhandenen verzeichnissen und dateien. sieht irgendwie sehr nach skriptkiddy aus, was installierte programme sucht (unter anderem phpmyadmin). das ist zwar über die domain aus nicht erreichbar, absichern würde ich den server aber dennoch gerne.

meine erste idee war, das ganze über iptables und dem recent-modul zu machen. beispiele gegen brute-force-attacken auf ssh finden sich ja einige und die könnte man ja theoretisch auf den port 80 umbauen. ich bin mir aber nicht sicher, ob ich damit nicht den server doch eher störe.

am liebsten wäre es mir, wenn ich sagen könnte, dass eine ip für eine gewisse zeit gesperrt wird, sobald z.b. 10 mal eine nicht vorhandene seite (code 404) in 5 sekunden oder so aufgerufen wurde. das würde zu den daten im log passen. das wäre aber doch nichts, was ich mit iptables machen könnte, oder?

es handelt sich hier um ein opensuse 10.1 mit plesk 8.2.1 bei strato
 
um ip's zu bannen (auch zeitweise) die ungewöhnlich oft versuchen zu connecten empfehle ich 'fail2ban', welches in den ubuntu repositories vorhanden sein sollte.
darüber hinaus würde ich mir keine allzugroßen gedanken machen, ich könnte dich mit ip adresse überhäufen die versuchen auf meinen ssh zu connecten (zuhause und auf meinem server). da diese attacken größtenteils dictionary attacken sind reicht die vergabe eines sicheren passwort um sich vor dem schlimmsten zu schützen.
 
ich werde das mal probieren. und naja, ist schon klar, dass diese tests in diesem fall vielleicht nicht weiter tragisch sind, aber wie gesagt, ich habe diesen server ja auch zum lernen und dann kann es ja doch mal sein, dass ich was teste, was die scannen. neben phpmyadmin wurde auch nach verschiedenen foren, cms... gesucht. und wenn dann eines davon vorhanden ist wäre es schon besser, wenn die möglicherweise schon am anfang geblockt werden.
 
solche scans laufen meistens schon ins leere, wenn du die standard ports einfach änderst. ssh von 22 auf 123 oder webmin von 10000 auf 666 ... der kreativität sind da keine grenzen gesetzt. und wenn du mal richtig spass haben willst, dann bau dir nen honeypot. zum testen und schmunzeln wirklich klasse :)

http://de.wikipedia.org/wiki/Honeypot
 
Original von xeno
solche scans laufen meistens schon ins leere, wenn du die standard ports einfach änderst. ssh von 22 auf 123 oder webmin von 10000 auf 666 ... der kreativität sind da keine grenzen gesetzt. und wenn du mal richtig spass haben willst, dann bau dir nen honeypot. zum testen und schmunzeln wirklich klasse :)

http://de.wikipedia.org/wiki/Honeypot
Zum Vergrößern anklicken....

ganz edel^^ wusste ich nicht das es das gibt, werde ich gleich mal bei mir ausprobieren obwohl ich nicht glaube dass jmd vesucht mich anzugreiffen^^
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben