Danke Danke:  0
Dislikes Dislikes:  0
Ergebnis 1 bis 7 von 7

Thema: IP Adressen melden (Port-Scans, Bruteforce, usw.)?

  1. #1

    Registriert seit
    03.07.15
    Danke (erhalten)
    2
    Gefällt mir (erhalten)
    7

    Standard IP Adressen melden (Port-Scans, Bruteforce, usw.)?

    Anzeige
    Hallo,

    Habe eine generelle Frage, nachdem mein Server seit einiger Zeit "den Gefahren" vom Netz ausgeliefert ist:
    Meldet ihr die IP Adressen die oft in der Firewall Log vorkommen? Macht das überhaupt einen Sinn?

    Derzeit habe ich nur ein kleines Python Script geschrieben, das eine Statistik ausgibt:
    Code:
    $ tcpdump -n -e -s 160 -ttt -r /var/log/pflog | ./pf_stat.py                                                          
    --------------------------------------
    -  PF Statistic
    --------------------------------------
    Total blocks     : 5774
    Total blocked IPs: 2422
    --------------------------------------
    TOP blocked IPs
    --------------------------------------
    59.56.76.168   : 1939 times
    51.15.86.40    : 66 times
    77.72.82.80    : 65 times
    77.72.82.177   : 42 times
    91.247.38.64   : 27 times
    191.101.167.235: 26 times
    51.15.7.46     : 24 times
    216.158.238.186: 23 times
    5.188.10.108   : 20 times
    185.94.111.1   : 20 times
    185.55.218.128 : 16 times
    92.42.107.139  : 15 times
    94.142.141.64  : 14 times
    103.192.119.73 : 13 times
    80.82.70.133   : 13 times
    111.164.250.33 : 13 times
    164.132.120.82 : 13 times
    163.172.209.2  : 12 times
    77.72.85.100   : 12 times
    51.15.83.186   : 12 times
    --------------------------------------
    TOP blocked ports
    --------------------------------------
    7719 : 1939 times
    445  : 1009 times
    23   : 759 times
    1433 : 213 times
    22   : 211 times
    5060 : 148 times
    53413: 114 times
    3389 : 73 times
    3306 : 67 times
    2323 : 52 times
    1900 : 46 times
    123  : 38 times
    8545 : 36 times
    8080 : 36 times
    21   : 32 times
    11029: 30 times
    25   : 24 times
    81   : 24 times
    9000 : 19 times
    53   : 16 times
    $
    Würdet ihr z.B. die IP Adresse 59.56.76.168 beim Abuse E-Mail Kontakt melden?
    /* Beware of bugs in the above code;
    I have only proved it correct, not tried it. */


    Original quote by Donald E. Knuth

  2. #2
    Moderator Avatar von bitmuncher
    Registriert seit
    30.09.06
    Danke (erhalten)
    159
    Gefällt mir (erhalten)
    1672

    Standard

    Melden bringt meist wenig bis gar nichts, erst recht nicht bei IPs aus China. Blocke die IPs in deiner Firewall und gut. Bei den Chinesen kannst du auch gleich die ganze Range des Provider-Blocks blockieren (also 59.56.0.0/14 und 59.60.0.0/15), vorausgesetzt natürlich, dass du nicht auf Traffic aus China angewiesen bist.

    Bei Servern mit dedizierten Adressen (z.B. die zweite, also 51.15.86.40 aus Frankreich), kann es aber durchaus Sinn machen sie zu melden. Denn oft laufen darauf dann einfach irgendwelche Bots, die die Hoster natürlich auch nicht in ihrem Netzwerk haben wollen. Ist also eher eine Frage von: "Will ich dem Provider helfen, selbst wenn er zu blöd ist Bot-Traffic in seinem Netzwerk zu erkennen?"

    Insgesamt ist es aber eine Ermessensfrage. Ich melde zumeist nur Angriffsversuche von Server-IPs aus Europa an das jeweilige Abuse-Team und sende denen dann meine IDS-Logs dafür mit. Den Rest blockiere ich einfach mittels Firewall.

  3. #3

    Registriert seit
    03.07.15
    Danke (erhalten)
    2
    Gefällt mir (erhalten)
    7

    Standard

    Eigentlich recht interressant die Logs vom Webserver. Insbesondere die Versuche irgendwelche PHP Scripst aufzurufen. Top Eins ist phpmyadmin.

    Habe schon gedacht, das jeweilige Script zu erstellen, das "Sorry guys, nothing there." ausgibt, oder ähnlich.
    Muss mir das echt überlegen. Spaß machen würde es.

    Will jetzt keinen eigenen Thread erstellen...Kennt wer eine gutes IDS für OpenBSD?
    Habe derzeit keine am Laufen. Eigentlich reicht mir PF, aber eine zu herumprobieren und hineinschnuppern wäre recht toll.
    /* Beware of bugs in the above code;
    I have only proved it correct, not tried it. */


    Original quote by Donald E. Knuth

  4. #4
    Moderator Avatar von bitmuncher
    Registriert seit
    30.09.06
    Danke (erhalten)
    159
    Gefällt mir (erhalten)
    1672

    Standard

    OSSEC läuft auch auf OpenBSD. Die Frage ist aber halt, ob du ein HIDS oder ein NIDS haben willst. OSSEC ist ein HIDS und optimal um Logs auszuwerten, Änderungen am System zu überwachen u.ä.. Rulesets für klassische Webserver sind gleich mit dabei. Willst du eher ein NIDS, solltest du dir Snort anschauen.

  5. Gefällt mir fork(Agent Smith) liked this post
  6. #5

    Registriert seit
    03.07.15
    Danke (erhalten)
    2
    Gefällt mir (erhalten)
    7

    Standard

    Danke! Werde mir beide anschauen. Ein HIDS würde ich bevorzugen. Optimal wäre wenn das IDS auch geliczeitig ein IPS wäre. Also nicht nur die Logdateien und Systemkonfiguartion überwacht sondern auch in bestimmten Fällen einen (einfachen) Einbruch erkennt und auch verhindert (z.B.: die Angreifer IP Adresse sperrt.). Optimal wäre auch wenn das IDS beliebig mit z.B.: Scripts erweiterbar ist.
    /* Beware of bugs in the above code;
    I have only proved it correct, not tried it. */


    Original quote by Donald E. Knuth

  7. #6
    Moderator Avatar von bitmuncher
    Registriert seit
    30.09.06
    Danke (erhalten)
    159
    Gefällt mir (erhalten)
    1672

    Standard

    OSSEC verfügt über Active Response, womit du Aktionen bei Alerts triggern kannst und mittels sogenannter Integrations, kannst du es auch erweitern. Wobei in den meisten Anwendungsfällen auch einfache Custom Rules reichen.

  8. #7

    Registriert seit
    03.07.15
    Danke (erhalten)
    2
    Gefällt mir (erhalten)
    7

    Standard

    Anzeige
    Sehr schön. Werde ich ausprobieren. Danke nochmal!
    /* Beware of bugs in the above code;
    I have only proved it correct, not tried it. */


    Original quote by Donald E. Knuth

Ähnliche Themen

  1. LPT port Adressen
    Von Schurke im Forum Code Kitchen
    Antworten: 3
    Letzter Beitrag: 21.11.08, 23:27
  2. SYN Scans in Perl
    Von Phuket im Forum Code Kitchen
    Antworten: 2
    Letzter Beitrag: 04.02.05, 15:05
  3. Firewall und Scans
    Von Franzl im Forum (In)security allgemein
    Antworten: 5
    Letzter Beitrag: 28.01.04, 08:34
  4. Antworten: 0
    Letzter Beitrag: 07.09.02, 03:25

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •