Danke Danke:  0
Gefällt mir Gefällt mir:  0
Dislikes Dislikes:  0
Ergebnis 1 bis 2 von 2

Thema: IP Adressen melden (Port-Scans, Bruteforce, usw.)?

    postbit_legacy mit 2x google adsense.txt DETAILS AKTIVITÄTEN Letzten Monat 29. Sep. Sie haben ein Element umbenannt Text postbit_legacy mit 2x google adsense.txt postbit_legacy.txt 29. Sep. Sie haben ein Element hochgeladen Text postbit_legacy.txt Keine aufgezeichnete Aktivität vor dem 29. September 2017 Alle Auswahlen aufgehoben Alle Auswahlen aufgehoben
  1. #1

    Registriert seit
    03.07.15
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    1

    Standard IP Adressen melden (Port-Scans, Bruteforce, usw.)?

    Anzeige
    Hallo,

    Habe eine generelle Frage, nachdem mein Server seit einiger Zeit "den Gefahren" vom Netz ausgeliefert ist:
    Meldet ihr die IP Adressen die oft in der Firewall Log vorkommen? Macht das überhaupt einen Sinn?

    Derzeit habe ich nur ein kleines Python Script geschrieben, das eine Statistik ausgibt:
    Code:
    $ tcpdump -n -e -s 160 -ttt -r /var/log/pflog | ./pf_stat.py                                                          
    --------------------------------------
    -  PF Statistic
    --------------------------------------
    Total blocks     : 5774
    Total blocked IPs: 2422
    --------------------------------------
    TOP blocked IPs
    --------------------------------------
    59.56.76.168   : 1939 times
    51.15.86.40    : 66 times
    77.72.82.80    : 65 times
    77.72.82.177   : 42 times
    91.247.38.64   : 27 times
    191.101.167.235: 26 times
    51.15.7.46     : 24 times
    216.158.238.186: 23 times
    5.188.10.108   : 20 times
    185.94.111.1   : 20 times
    185.55.218.128 : 16 times
    92.42.107.139  : 15 times
    94.142.141.64  : 14 times
    103.192.119.73 : 13 times
    80.82.70.133   : 13 times
    111.164.250.33 : 13 times
    164.132.120.82 : 13 times
    163.172.209.2  : 12 times
    77.72.85.100   : 12 times
    51.15.83.186   : 12 times
    --------------------------------------
    TOP blocked ports
    --------------------------------------
    7719 : 1939 times
    445  : 1009 times
    23   : 759 times
    1433 : 213 times
    22   : 211 times
    5060 : 148 times
    53413: 114 times
    3389 : 73 times
    3306 : 67 times
    2323 : 52 times
    1900 : 46 times
    123  : 38 times
    8545 : 36 times
    8080 : 36 times
    21   : 32 times
    11029: 30 times
    25   : 24 times
    81   : 24 times
    9000 : 19 times
    53   : 16 times
    $
    Würdet ihr z.B. die IP Adresse 59.56.76.168 beim Abuse E-Mail Kontakt melden?
    /* Beware of bugs in the above code;
    I have only proved it correct, not tried it. */


    Original quote by Donald E. Knuth

  2. postbit_legacy mit 2x google adsense.txt DETAILS AKTIVITÄTEN Letzten Monat 29. Sep. Sie haben ein Element umbenannt Text postbit_legacy mit 2x google adsense.txt postbit_legacy.txt 29. Sep. Sie haben ein Element hochgeladen Text postbit_legacy.txt Keine aufgezeichnete Aktivität vor dem 29. September 2017 Alle Auswahlen aufgehoben Alle Auswahlen aufgehoben
  3. #2
    Moderator Avatar von bitmuncher
    Registriert seit
    30.09.06
    Danke (erhalten)
    137
    Gefällt mir (erhalten)
    1620

    Standard

    Anzeige
    Melden bringt meist wenig bis gar nichts, erst recht nicht bei IPs aus China. Blocke die IPs in deiner Firewall und gut. Bei den Chinesen kannst du auch gleich die ganze Range des Provider-Blocks blockieren (also 59.56.0.0/14 und 59.60.0.0/15), vorausgesetzt natürlich, dass du nicht auf Traffic aus China angewiesen bist.

    Bei Servern mit dedizierten Adressen (z.B. die zweite, also 51.15.86.40 aus Frankreich), kann es aber durchaus Sinn machen sie zu melden. Denn oft laufen darauf dann einfach irgendwelche Bots, die die Hoster natürlich auch nicht in ihrem Netzwerk haben wollen. Ist also eher eine Frage von: "Will ich dem Provider helfen, selbst wenn er zu blöd ist Bot-Traffic in seinem Netzwerk zu erkennen?"

    Insgesamt ist es aber eine Ermessensfrage. Ich melde zumeist nur Angriffsversuche von Server-IPs aus Europa an das jeweilige Abuse-Team und sende denen dann meine IDS-Logs dafür mit. Den Rest blockiere ich einfach mittels Firewall.

    Bitmuncher's TechBlog - My Homepage
    Denken ist manchmal so, als würde man wissen auskotzen.

    Neue Beiträge im Habo via Twitter - Das HaBo auf FB

Ähnliche Themen

  1. LPT port Adressen
    Von Schurke im Forum Code Kitchen
    Antworten: 3
    Letzter Beitrag: 21.11.08, 23:27
  2. SYN Scans in Perl
    Von Phuket im Forum Code Kitchen
    Antworten: 2
    Letzter Beitrag: 04.02.05, 15:05
  3. Firewall und Scans
    Von Franzl im Forum (In)security allgemein
    Antworten: 5
    Letzter Beitrag: 28.01.04, 08:34
  4. Antworten: 0
    Letzter Beitrag: 07.09.02, 03:25

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •