Re: [vpsFree.cz: community-list] {SPAM 05.3} Re: Sdílený / společný abuse report / management

26 Jul 2019

Jestli to chápu dobře, tak aplikační démoni hlídají pouze v principu
korektní  stavy, tj. když není zadáno dobře heslo. Proto mi třeba
fail2ban nic nezahlásil, i když iptables vidí komunikaci na port 22.

Například ohledně centrálního sběru dat má denyhosts umět ono
reportování - viz např. http://denyhosts.sourceforge.net/faq.html#4_0

/What is synchronization mode?//
//
//DenyHosts v2.0 and later introduces //synchronization mode//which
allows DenyHosts daemons the ability to transmit denied host data to a
central remote server (hosted by denyhosts.net). Additionally, DenyHosts
daemons can also receive data that other DenyHosts daemons have sent to
the central server. This feature is intended to provide the ability to
proactively deny ip addresses that have attacked other users of
DenyHosts. That is, each DenyHosts 2.0 (or later) user can benefit from
other users of Denyhosts. Similarly each DenyHosts user can benefit
other DenyHosts users. /

Sám jsem to ještě nepoužil.

V.

On 26. 07. 19 12:27, zd nex wrote:
...
  Ahojte,
 popravdě nad tímto jsem také přemýšel. Nyní mám např. SSH otevřený pro
 vybrané IP. Pokud bychom ale nad celým rozsahem serverů mohli mít
 firewall/IDS, mohlo by to být zajímavé.

 Zdeněk
 Web: www.pripravto.cz <http://www.pripravto.cz>

 pá 26. 7. 2019 v 11:41 odesílatel Jindřich Sadílek
 &lt;jindrich.sadilek(a)gmail.com <mailto:jindrich.sadilek@gmail.com>> napsal:

     SSHguard, fail2ban,...

     Ale nějaké - dobrovolné - IDS nad celým VPSfree, které by to
     hlídalo celkově a umožňovalo ty útoky banovat dříve, než by to
     dorazilo k dalším žiletkám, by nemuselo být špatné…

     Když se o to někdo bude starat :)

     Jindra

     Dne Pá, 26. červenec 2019 v 10:47 h uživatel David Česal napsal:
      Ahoj,

     SSH mám v iptables povolené jen pro vyjmenované IP adresy, jinak
     drop.

     Fail2ban používám pro banování těch, co zkouší heslo na
     mailserver, podle vlastních předpisů v logu, typicky:

     2019-07-26T10:00:36.625923+02:00 vpsfree
     postfix/smtps/smtpd[15047]: Anonymous TLS connection established
     from unknown[185.211.245.170]: TLSv1.2 with cipher
     ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
     2019-07-26T10:00:40.447499+02:00 vpsfree
     postfix/smtps/smtpd[15047]: warning: unknown[185.211.245.170]:
     SASL LOGIN authentication failed: UGFzc3dvcmQ6
     2019-07-26T10:00:40.635714+02:00 vpsfree
     postfix/smtps/smtpd[15047]: lost connection after AUTH from
     unknown[185.211.245.170]
     2019-07-26T10:00:40.635790+02:00 vpsfree
     postfix/smtps/smtpd[15047]: disconnect from
     unknown[185.211.245.170] ehlo=1 auth=0/1 commands=1/2

     Těch (automatizovaných) pokusů je každý den dost. Nějak to řešit
     jinak, to se mi zdá nereálné - banovat a nechat být.

     David

     -----Original Message-----
     From: Community-list &lt;community-list-bounces(a)lists.vpsfree.cz
     <mailto:community-list-bounces@lists.vpsfree.cz>> On Behalf Of
     Vašek Kratochvíl
     Sent: Friday, July 26, 2019 10:37 AM
     To: community-list(a)lists.vpsfree.cz
     <mailto:community-list@lists.vpsfree.cz>
     Subject: [vpsFree.cz: community-list] Sdílený / společný abuse
     report / management

     Dobrý den, ahoj všem,

     v principu pokračuju ve vláknu "Sirka pasma" (původně začlo v
     https://lists.vpsfree.cz/pipermail/community-list/2019-July/010081.html)
     a pokračovalo legálností a tak.

     Mám otázku: vidím na své vpsce nějaké neslušné aktivity, scany,
     asi hádání hesel a tak. Máte zájem to řešit nějak společně?
     Případně se můžete vyjádřit, že vás to zrovna nezajímá :-)

     Teoreticky bych mohl někomu posílat seznam třeba zajímavých
     událostí s četností více než 10 výskytů za den. Pokud by to bylo
     třeba u třetiny členů, mělo by to větší vypovídající hodnotu.

     Překvapilo mne, že mam cca 19.000 výskytů v přístupu na ssh za
     den, fail2ban nic, v iptables cca v řádu vteřin, ale nejsem si
     jistý, co to bylo za aplikační provoz. Čili jestli to není něco
     nového, 25. 7. cca v
     8:27 SELČ to skončilo.

     Pokud už něco takového je, můžete dát vědět.

     S pozdravem
     Vencour

     _______________________________________________
     Community-list mailing list
     Community-list(a)lists.vpsfree.cz
     <mailto:Community-list@lists.vpsfree.cz>
     http://lists.vpsfree.cz/listinfo/community-list

     _______________________________________________
     Community-list mailing list
     Community-list(a)lists.vpsfree.cz
     <mailto:Community-list@lists.vpsfree.cz>
     http://lists.vpsfree.cz/listinfo/community-list

     _______________________________________________
     Community-list mailing list
     Community-list(a)lists.vpsfree.cz
     <mailto:Community-list@lists.vpsfree.cz>
     http://lists.vpsfree.cz/listinfo/community-list

 _______________________________________________
 Community-list mailing list
 Community-list(a)lists.vpsfree.cz
 http://lists.vpsfree.cz/listinfo/community-list 

2024

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

Re: [vpsFree.cz: community-list] {SPAM 05.3} Re: Sdílený / společný abuse report / management