<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body text="#000000" bgcolor="#FFFFFF">
<p>Jestli to chápu dobře, tak aplikační démoni hlídají pouze v
principu korektní stavy, tj. když není zadáno dobře heslo. Proto
mi třeba fail2ban nic nezahlásil, i když iptables vidí komunikaci
na port 22.</p>
<p>Například ohledně centrálního sběru dat má denyhosts umět ono
reportování - viz např.
<a class="moz-txt-link-freetext" href="http://denyhosts.sourceforge.net/faq.html#4_0">http://denyhosts.sourceforge.net/faq.html#4_0</a></p>
<p><br>
</p>
<i>What is synchronization mode?</i><i><br>
</i><i><br>
</i><i>DenyHosts v2.0 and later introduces </i><i>synchronization
mode</i><i> which allows DenyHosts daemons the
ability to transmit denied host data to a central remote server
(hosted by denyhosts.net).
Additionally, DenyHosts daemons can also receive data that other
DenyHosts daemons have sent to
the central server. This feature is intended to provide the
ability to proactively deny ip addresses that have attacked other
users of DenyHosts. That is, each DenyHosts 2.0 (or later) user
can benefit from other
users of Denyhosts. Similarly each DenyHosts user can benefit
other DenyHosts users.
</i>
<p><br>
</p>
<p>Sám jsem to ještě nepoužil.<br>
</p>
<p>V.<br>
</p>
<div class="moz-cite-prefix">On 26. 07. 19 12:27, zd nex wrote:<br>
</div>
<blockquote type="cite"
cite="mid:CAC_zDp8dOe_z9DQPqc=wMrZRMu1tPHjckpvNUZoQnckkxZsx1A@mail.gmail.com">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div dir="ltr">
<div dir="ltr">
<div>Ahojte,</div>
<div>popravdě nad tímto jsem také přemýšel. Nyní mám např. SSH
otevřený pro vybrané IP. Pokud bychom ale nad celým rozsahem
serverů mohli mít firewall/IDS, mohlo by to být zajímavé.</div>
<div><br>
<div dir="ltr" class="gmail_signature">
<div dir="ltr">
<div>
<div dir="ltr">Zdeněk<br>
Web: <a href="http://www.pripravto.cz"
target="_blank" moz-do-not-send="true">www.pripravto.cz</a></div>
</div>
</div>
</div>
</div>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">pá 26. 7. 2019 v 11:41
odesílatel Jindřich Sadílek <<a
href="mailto:jindrich.sadilek@gmail.com"
moz-do-not-send="true">jindrich.sadilek@gmail.com</a>>
napsal:<br>
</div>
<blockquote class="gmail_quote" style="margin:0px 0px 0px
0.8ex;border-left:1px solid
rgb(204,204,204);padding-left:1ex">
<div>
<div>SSHguard, fail2ban,...<br>
</div>
<div><br>
</div>
<div>Ale nějaké - dobrovolné - IDS nad celým VPSfree,
které by to hlídalo celkově a umožňovalo ty útoky
banovat dříve, než by to dorazilo k dalším žiletkám, by
nemuselo být špatné…<br>
</div>
<div><br>
</div>
<div>Když se o to někdo bude starat :)<br>
</div>
<div><br>
</div>
<div>Jindra</div>
<div><br>
</div>
<div>Dne Pá, 26. červenec 2019 v 10:47 h uživatel David
Česal napsal:<br>
</div>
<blockquote type="cite" id="gmail-m_2151457381558283388qt">
<div>Ahoj,<br>
</div>
<div><br>
</div>
<div>SSH mám v iptables povolené jen pro vyjmenované IP
adresy, jinak drop.<br>
</div>
<div><br>
</div>
<div>Fail2ban používám pro banování těch, co zkouší
heslo na mailserver, podle vlastních předpisů v logu,
typicky:<br>
</div>
<div><br>
</div>
<div>2019-07-26T10:00:36.625923+02:00 vpsfree
postfix/smtps/smtpd[15047]: Anonymous TLS connection
established from unknown[185.211.245.170]: TLSv1.2
with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)<br>
</div>
<div>2019-07-26T10:00:40.447499+02:00 vpsfree
postfix/smtps/smtpd[15047]: warning:
unknown[185.211.245.170]: SASL LOGIN authentication
failed: UGFzc3dvcmQ6<br>
</div>
<div>2019-07-26T10:00:40.635714+02:00 vpsfree
postfix/smtps/smtpd[15047]: lost connection after AUTH
from unknown[185.211.245.170]<br>
</div>
<div>2019-07-26T10:00:40.635790+02:00 vpsfree
postfix/smtps/smtpd[15047]: disconnect from
unknown[185.211.245.170] ehlo=1 auth=0/1 commands=1/2<br>
</div>
<div><br>
</div>
<div>Těch (automatizovaných) pokusů je každý den dost.
Nějak to řešit jinak, to se mi zdá nereálné - banovat
a nechat být.<br>
</div>
<div><br>
</div>
<div>David<br>
</div>
<div><br>
</div>
<div>-----Original Message-----<br>
</div>
<div>From: Community-list <<a
href="mailto:community-list-bounces@lists.vpsfree.cz"
target="_blank" moz-do-not-send="true">community-list-bounces@lists.vpsfree.cz</a>>
On Behalf Of Vašek Kratochvíl<br>
</div>
<div>Sent: Friday, July 26, 2019 10:37 AM<br>
</div>
<div>To: <a
href="mailto:community-list@lists.vpsfree.cz"
target="_blank" moz-do-not-send="true">community-list@lists.vpsfree.cz</a><br>
</div>
<div>Subject: [vpsFree.cz: community-list] Sdílený /
společný abuse report / management<br>
</div>
<div><br>
</div>
<div><br>
</div>
<div>Dobrý den, ahoj všem,<br>
</div>
<div><br>
</div>
<div><br>
</div>
<div>v principu pokračuju ve vláknu "Sirka pasma"
(původně začlo v<br>
</div>
<div><a
href="https://lists.vpsfree.cz/pipermail/community-list/2019-July/010081.html"
target="_blank" moz-do-not-send="true">https://lists.vpsfree.cz/pipermail/community-list/2019-July/010081.html</a>)<br>
</div>
<div>a pokračovalo legálností a tak.<br>
</div>
<div><br>
</div>
<div>Mám otázku: vidím na své vpsce nějaké neslušné
aktivity, scany, asi hádání hesel a tak. Máte zájem to
řešit nějak společně? Případně se můžete vyjádřit, že
vás to zrovna nezajímá :-)<br>
</div>
<div><br>
</div>
<div>Teoreticky bych mohl někomu posílat seznam třeba
zajímavých událostí s četností více než 10 výskytů za
den. Pokud by to bylo třeba u třetiny členů, mělo by
to větší vypovídající hodnotu.<br>
</div>
<div><br>
</div>
<div>Překvapilo mne, že mam cca 19.000 výskytů v
přístupu na ssh za den, fail2ban nic, v iptables cca v
řádu vteřin, ale nejsem si jistý, co to bylo za
aplikační provoz. Čili jestli to není něco nového, 25.
7. cca v<br>
</div>
<div>8:27 SELČ to skončilo.<br>
</div>
<div><br>
</div>
<div>Pokud už něco takového je, můžete dát vědět.<br>
</div>
<div><br>
</div>
<div><br>
</div>
<div>S pozdravem<br>
</div>
<div>Vencour<br>
</div>
<div><br>
</div>
<div>_______________________________________________<br>
</div>
<div>Community-list mailing list<br>
</div>
<div><a href="mailto:Community-list@lists.vpsfree.cz"
target="_blank" moz-do-not-send="true">Community-list@lists.vpsfree.cz</a><br>
</div>
<div><a
href="http://lists.vpsfree.cz/listinfo/community-list"
target="_blank" moz-do-not-send="true">http://lists.vpsfree.cz/listinfo/community-list</a><br>
</div>
<div><br>
</div>
<div>_______________________________________________<br>
</div>
<div>Community-list mailing list<br>
</div>
<div><a href="mailto:Community-list@lists.vpsfree.cz"
target="_blank" moz-do-not-send="true">Community-list@lists.vpsfree.cz</a><br>
</div>
<div><a
href="http://lists.vpsfree.cz/listinfo/community-list"
target="_blank" moz-do-not-send="true">http://lists.vpsfree.cz/listinfo/community-list</a><br>
</div>
<div><br>
</div>
</blockquote>
<div><br>
</div>
</div>
_______________________________________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz"
target="_blank" moz-do-not-send="true">Community-list@lists.vpsfree.cz</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list"
rel="noreferrer" target="_blank" moz-do-not-send="true">http://lists.vpsfree.cz/listinfo/community-list</a><br>
</blockquote>
</div>
<br>
</div>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<pre class="moz-quote-pre" wrap="">_______________________________________________
Community-list mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a>
<a class="moz-txt-link-freetext" href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a>
</pre>
</blockquote>
</body>
</html>