SSHguard, fail2ban,...
Ale nějaké - dobrovolné - IDS nad celým VPSfree, které by to hlídalo celkově a umožňovalo ty útoky banovat dříve, než by to dorazilo k dalším žiletkám, by nemuselo být špatné…
Když se o to někdo bude starat :)
Jindra
Dne Pá, 26. červenec 2019 v 10:47 h uživatel David Česal napsal:
Ahoj,
SSH mám v iptables povolené jen pro vyjmenované IP adresy, jinak drop.
Fail2ban používám pro banování těch, co zkouší heslo na mailserver, podle vlastních předpisů v logu, typicky:
2019-07-26T10:00:36.625923+02:00 vpsfree postfix/smtps/smtpd[15047]: Anonymous TLS connection established from unknown[185.211.245.170]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) 2019-07-26T10:00:40.447499+02:00 vpsfree postfix/smtps/smtpd[15047]: warning: unknown[185.211.245.170]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 2019-07-26T10:00:40.635714+02:00 vpsfree postfix/smtps/smtpd[15047]: lost connection after AUTH from unknown[185.211.245.170] 2019-07-26T10:00:40.635790+02:00 vpsfree postfix/smtps/smtpd[15047]: disconnect from unknown[185.211.245.170] ehlo=1 auth=0/1 commands=1/2
Těch (automatizovaných) pokusů je každý den dost. Nějak to řešit jinak, to se mi zdá nereálné - banovat a nechat být.
David
-----Original Message----- From: Community-list community-list-bounces@lists.vpsfree.cz On Behalf Of Vašek Kratochvíl Sent: Friday, July 26, 2019 10:37 AM To: community-list@lists.vpsfree.cz Subject: [vpsFree.cz: community-list] Sdílený / společný abuse report / management
Dobrý den, ahoj všem,
v principu pokračuju ve vláknu "Sirka pasma" (původně začlo v https://lists.vpsfree.cz/pipermail/community-list/2019-July/010081.html) a pokračovalo legálností a tak.
Mám otázku: vidím na své vpsce nějaké neslušné aktivity, scany, asi hádání hesel a tak. Máte zájem to řešit nějak společně? Případně se můžete vyjádřit, že vás to zrovna nezajímá :-)
Teoreticky bych mohl někomu posílat seznam třeba zajímavých událostí s četností více než 10 výskytů za den. Pokud by to bylo třeba u třetiny členů, mělo by to větší vypovídající hodnotu.
Překvapilo mne, že mam cca 19.000 výskytů v přístupu na ssh za den, fail2ban nic, v iptables cca v řádu vteřin, ale nejsem si jistý, co to bylo za aplikační provoz. Čili jestli to není něco nového, 25. 7. cca v 8:27 SELČ to skončilo.
Pokud už něco takového je, můžete dát vědět.
S pozdravem Vencour
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list