Hallo
Ich habe ein PHP Skript geschrieben der nach drei Fehlversuche innerhalb
der letzten so-und-soviel Logeinträge von der selben IP die IP in die
Firewall reinschreibt.
Erfolg 100%.
(Ich habe den script auf www.linux-club.at veröffentlicht. Jedoch size ich
zZ hinder einer paranoischem proxy der mir den Zugang zu dieser Seite
verbietet. Muttu selber suchen.)
Man kann den Skript sowohl bei Dictionary Attaken als auch bei Brute Force
mit ssh oder bei irgend einer anderen brute force einsetzen.
Ich kann leider kein bash/sh-skripting.
Ihr könnt euch aber bestimmt auch etwas stricken.
Viel Spass
PS.
setze den ssh port irgendwo auf einen anderen Port
die trojaner die die brute force attacken machen gehen immer auf den port 22
PS2.
Arbeite mit Tunnel und Zertifikaten
Baue von Server einen dauerhaften Tunnel auf die Maschine von der Du dich
einloggen willst und benutze den Tunnel.
PS3.
Vergiis die Beschwerde Schine. Es muss Dir echt schaden entstehen damit
ein Gericht sich der Sache annimmt.
Und dann geht die Sache so aus dass der 14 Jahre alte Hacker mündlich
gemahnt wird, und Du deinen Job verlierst weil Du die notwendigen Backups
nicht sorgfältig genug gemacht hast
PS4.
Viele Grüsse
> Hallo liebe Listenempfänger,
>
> In den Log-Files unseres Linuxservers finde ich in den letzten Tagen
> in inzwischen doch erheblichem Umfange (zum Glück bisher gescheiterte)
> Versuche sich über ssh illegal von extern einzuloggen. Ich habe einige
> der laut "whois" eingetragenen Verantwortlichen angeschrieben, bisher
> hat jedoch nur einer reagiert (und sich immerhin dafür entschuldigt).
> Ich vermute, dass es sich bei den meisten (mit Ausnahme von evtl. IP
> 200.247.90.55 da sich unter http://200.247.90.55/ ein Fedora Apache
> meldet) um geknackte Windows-Zombies handelt, die durch Malware jetzt
> solche Angriffe starten.
> Ich werde versuchen die Anleitung vom Debian-Form
> (http://www.debianforum.de/forum/viewtopic.php?t=47353&postdays=0&postorder=asc&start=0)
> zu integrieren um so den ssh-Zugang stark zu begrenzen.
> Allerdings bietet dies natürlich auch keine absolute Sicherheit.
> Abschalten will ich den Zugang von außen aber auch nicht, da ich sonst
> im Problemfalle immer direkten physikalischen Zugang bräuchte)
>
> Fragen:
> a) Um den potenziellen Nutzen einer solchen Hack-Aktion zu minimieren
> überlege ich, die Nutzerverzeichnisse zu verschlüsseln. Hat damit
> jemand praktische Erfahrung und kann berichten, wie stark das die
> Performance drückt?
> Gefunden habe ich: Laut aktuellem Linux-Magazin (08/05, im Abo daher
> schon vor 7.7.05) um 20-30%, was aber durch mehr RAM z.T. ausgleichbar
> sei. Ich suche Praxiswerte für einen SAMBA-Server. (PS.: "Mein"
> Server: Asus A7V8X, 1 GB RAM, AMD Athlon XP 2500, 250 GB (Mirror) RAID
> über S-ATA (z.Z. etwa 55 MB/s laut hdparm))
> (Anm.: Natürlich kann ich das selber probieren, dass wird aber eine (für
> mein
> Know-How) größere Aktion, die ich mir sparen könnte, wenn jemand
> diesen Weg schon gegangen ist und mir die Richtung vorgibt)
>
> b) Ist eine zentrale Sicherung über ADSM (jetzt ITSM) mit
> verschlüsselten Verzeichnissen noch problemlos möglich und sinnvoll
> (unter Annahme das root die PW nicht kennt)?
>
> b) Ich drohe den "Verantwortlichen" mit "legal actions" im
> Wiederholungsfall. Gibt es dafür eine zentrale Sammelstelle an der
> Uni, die solche Vorfälle juristisch bearbeitet (Mir ist natürlich klar
> das so etwas nur für "Schuldige" möglich ist, die nicht irgendwo auf
> den Private Islands sitzen und entsprechende Gesetze existieren).
> Muss ich bei meinen Beschwerdemails auf eine bestimmte Form achten?
>
> Danke,
> Stephan
>
>
>
> --
> Stephan Gromer, MD. PhD.
> Work: Biochemie-Zentrum Heidelberg / Im Neuenheimer Feld 504 / D-69120
> Heidelberg / Tel.: +49 (6221) 544291 / Fax.: +49 (6221) 545586
> Home: Sternallee 89 / D-68723 Schwetzingen / Tel.: +49 (6202) 855038
> Mobil: +49 (172) 7694555 / URL: http://www.gromer-online.de
>
Received on Thu Jul 7 15:36:09 2005