Dobrý den, ahoj všem,
v principu pokračuju ve vláknu "Sirka pasma" (původně začlo v https://lists.vpsfree.cz/pipermail/community-list/2019-July/010081.html) a pokračovalo legálností a tak.
Mám otázku: vidím na své vpsce nějaké neslušné aktivity, scany, asi hádání hesel a tak. Máte zájem to řešit nějak společně? Případně se můžete vyjádřit, že vás to zrovna nezajímá :-)
Teoreticky bych mohl někomu posílat seznam třeba zajímavých událostí s četností více než 10 výskytů za den. Pokud by to bylo třeba u třetiny členů, mělo by to větší vypovídající hodnotu.
Překvapilo mne, že mam cca 19.000 výskytů v přístupu na ssh za den, fail2ban nic, v iptables cca v řádu vteřin, ale nejsem si jistý, co to bylo za aplikační provoz. Čili jestli to není něco nového, 25. 7. cca v 8:27 SELČ to skončilo.
Pokud už něco takového je, můžete dát vědět.
S pozdravem Vencour
Ahoj,
SSH mám v iptables povolené jen pro vyjmenované IP adresy, jinak drop.
Fail2ban používám pro banování těch, co zkouší heslo na mailserver, podle vlastních předpisů v logu, typicky:
2019-07-26T10:00:36.625923+02:00 vpsfree postfix/smtps/smtpd[15047]: Anonymous TLS connection established from unknown[185.211.245.170]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) 2019-07-26T10:00:40.447499+02:00 vpsfree postfix/smtps/smtpd[15047]: warning: unknown[185.211.245.170]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 2019-07-26T10:00:40.635714+02:00 vpsfree postfix/smtps/smtpd[15047]: lost connection after AUTH from unknown[185.211.245.170] 2019-07-26T10:00:40.635790+02:00 vpsfree postfix/smtps/smtpd[15047]: disconnect from unknown[185.211.245.170] ehlo=1 auth=0/1 commands=1/2
Těch (automatizovaných) pokusů je každý den dost. Nějak to řešit jinak, to se mi zdá nereálné - banovat a nechat být.
David
-----Original Message----- From: Community-list community-list-bounces@lists.vpsfree.cz On Behalf Of Vašek Kratochvíl Sent: Friday, July 26, 2019 10:37 AM To: community-list@lists.vpsfree.cz Subject: [vpsFree.cz: community-list] Sdílený / společný abuse report / management
Dobrý den, ahoj všem,
v principu pokračuju ve vláknu "Sirka pasma" (původně začlo v https://lists.vpsfree.cz/pipermail/community-list/2019-July/010081.html) a pokračovalo legálností a tak.
Mám otázku: vidím na své vpsce nějaké neslušné aktivity, scany, asi hádání hesel a tak. Máte zájem to řešit nějak společně? Případně se můžete vyjádřit, že vás to zrovna nezajímá :-)
Teoreticky bych mohl někomu posílat seznam třeba zajímavých událostí s četností více než 10 výskytů za den. Pokud by to bylo třeba u třetiny členů, mělo by to větší vypovídající hodnotu.
Překvapilo mne, že mam cca 19.000 výskytů v přístupu na ssh za den, fail2ban nic, v iptables cca v řádu vteřin, ale nejsem si jistý, co to bylo za aplikační provoz. Čili jestli to není něco nového, 25. 7. cca v 8:27 SELČ to skončilo.
Pokud už něco takového je, můžete dát vědět.
S pozdravem Vencour
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
SSHguard, fail2ban,...
Ale nějaké - dobrovolné - IDS nad celým VPSfree, které by to hlídalo celkově a umožňovalo ty útoky banovat dříve, než by to dorazilo k dalším žiletkám, by nemuselo být špatné…
Když se o to někdo bude starat :)
Jindra
Dne Pá, 26. červenec 2019 v 10:47 h uživatel David Česal napsal:
Ahoj,
SSH mám v iptables povolené jen pro vyjmenované IP adresy, jinak drop.
Fail2ban používám pro banování těch, co zkouší heslo na mailserver, podle vlastních předpisů v logu, typicky:
2019-07-26T10:00:36.625923+02:00 vpsfree postfix/smtps/smtpd[15047]: Anonymous TLS connection established from unknown[185.211.245.170]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) 2019-07-26T10:00:40.447499+02:00 vpsfree postfix/smtps/smtpd[15047]: warning: unknown[185.211.245.170]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 2019-07-26T10:00:40.635714+02:00 vpsfree postfix/smtps/smtpd[15047]: lost connection after AUTH from unknown[185.211.245.170] 2019-07-26T10:00:40.635790+02:00 vpsfree postfix/smtps/smtpd[15047]: disconnect from unknown[185.211.245.170] ehlo=1 auth=0/1 commands=1/2
Těch (automatizovaných) pokusů je každý den dost. Nějak to řešit jinak, to se mi zdá nereálné - banovat a nechat být.
David
-----Original Message----- From: Community-list community-list-bounces@lists.vpsfree.cz On Behalf Of Vašek Kratochvíl Sent: Friday, July 26, 2019 10:37 AM To: community-list@lists.vpsfree.cz Subject: [vpsFree.cz: community-list] Sdílený / společný abuse report / management
Dobrý den, ahoj všem,
v principu pokračuju ve vláknu "Sirka pasma" (původně začlo v https://lists.vpsfree.cz/pipermail/community-list/2019-July/010081.html) a pokračovalo legálností a tak.
Mám otázku: vidím na své vpsce nějaké neslušné aktivity, scany, asi hádání hesel a tak. Máte zájem to řešit nějak společně? Případně se můžete vyjádřit, že vás to zrovna nezajímá :-)
Teoreticky bych mohl někomu posílat seznam třeba zajímavých událostí s četností více než 10 výskytů za den. Pokud by to bylo třeba u třetiny členů, mělo by to větší vypovídající hodnotu.
Překvapilo mne, že mam cca 19.000 výskytů v přístupu na ssh za den, fail2ban nic, v iptables cca v řádu vteřin, ale nejsem si jistý, co to bylo za aplikační provoz. Čili jestli to není něco nového, 25. 7. cca v 8:27 SELČ to skončilo.
Pokud už něco takového je, můžete dát vědět.
S pozdravem Vencour
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahojte, popravdě nad tímto jsem také přemýšel. Nyní mám např. SSH otevřený pro vybrané IP. Pokud bychom ale nad celým rozsahem serverů mohli mít firewall/IDS, mohlo by to být zajímavé.
Zdeněk Web: www.pripravto.cz
pá 26. 7. 2019 v 11:41 odesílatel Jindřich Sadílek < jindrich.sadilek@gmail.com> napsal:
SSHguard, fail2ban,...
Ale nějaké - dobrovolné - IDS nad celým VPSfree, které by to hlídalo celkově a umožňovalo ty útoky banovat dříve, než by to dorazilo k dalším žiletkám, by nemuselo být špatné…
Když se o to někdo bude starat :)
Jindra
Dne Pá, 26. červenec 2019 v 10:47 h uživatel David Česal napsal:
Ahoj,
SSH mám v iptables povolené jen pro vyjmenované IP adresy, jinak drop.
Fail2ban používám pro banování těch, co zkouší heslo na mailserver, podle vlastních předpisů v logu, typicky:
2019-07-26T10:00:36.625923+02:00 vpsfree postfix/smtps/smtpd[15047]: Anonymous TLS connection established from unknown[185.211.245.170]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) 2019-07-26T10:00:40.447499+02:00 vpsfree postfix/smtps/smtpd[15047]: warning: unknown[185.211.245.170]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 2019-07-26T10:00:40.635714+02:00 vpsfree postfix/smtps/smtpd[15047]: lost connection after AUTH from unknown[185.211.245.170] 2019-07-26T10:00:40.635790+02:00 vpsfree postfix/smtps/smtpd[15047]: disconnect from unknown[185.211.245.170] ehlo=1 auth=0/1 commands=1/2
Těch (automatizovaných) pokusů je každý den dost. Nějak to řešit jinak, to se mi zdá nereálné - banovat a nechat být.
David
-----Original Message----- From: Community-list community-list-bounces@lists.vpsfree.cz On Behalf Of Vašek Kratochvíl Sent: Friday, July 26, 2019 10:37 AM To: community-list@lists.vpsfree.cz Subject: [vpsFree.cz: community-list] Sdílený / společný abuse report / management
Dobrý den, ahoj všem,
v principu pokračuju ve vláknu "Sirka pasma" (původně začlo v https://lists.vpsfree.cz/pipermail/community-list/2019-July/010081.html) a pokračovalo legálností a tak.
Mám otázku: vidím na své vpsce nějaké neslušné aktivity, scany, asi hádání hesel a tak. Máte zájem to řešit nějak společně? Případně se můžete vyjádřit, že vás to zrovna nezajímá :-)
Teoreticky bych mohl někomu posílat seznam třeba zajímavých událostí s četností více než 10 výskytů za den. Pokud by to bylo třeba u třetiny členů, mělo by to větší vypovídající hodnotu.
Překvapilo mne, že mam cca 19.000 výskytů v přístupu na ssh za den, fail2ban nic, v iptables cca v řádu vteřin, ale nejsem si jistý, co to bylo za aplikační provoz. Čili jestli to není něco nového, 25. 7. cca v 8:27 SELČ to skončilo.
Pokud už něco takového je, můžete dát vědět.
S pozdravem Vencour
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Jestli to chápu dobře, tak aplikační démoni hlídají pouze v principu korektní stavy, tj. když není zadáno dobře heslo. Proto mi třeba fail2ban nic nezahlásil, i když iptables vidí komunikaci na port 22.
Například ohledně centrálního sběru dat má denyhosts umět ono reportování - viz např. http://denyhosts.sourceforge.net/faq.html#4_0
/What is synchronization mode?// // //DenyHosts v2.0 and later introduces //synchronization mode//which allows DenyHosts daemons the ability to transmit denied host data to a central remote server (hosted by denyhosts.net). Additionally, DenyHosts daemons can also receive data that other DenyHosts daemons have sent to the central server. This feature is intended to provide the ability to proactively deny ip addresses that have attacked other users of DenyHosts. That is, each DenyHosts 2.0 (or later) user can benefit from other users of Denyhosts. Similarly each DenyHosts user can benefit other DenyHosts users. /
Sám jsem to ještě nepoužil.
V.
On 26. 07. 19 12:27, zd nex wrote:
Ahojte, popravdě nad tímto jsem také přemýšel. Nyní mám např. SSH otevřený pro vybrané IP. Pokud bychom ale nad celým rozsahem serverů mohli mít firewall/IDS, mohlo by to být zajímavé.
Zdeněk Web: www.pripravto.cz http://www.pripravto.cz
pá 26. 7. 2019 v 11:41 odesílatel Jindřich Sadílek <jindrich.sadilek@gmail.com mailto:jindrich.sadilek@gmail.com> napsal:
SSHguard, fail2ban,... Ale nějaké - dobrovolné - IDS nad celým VPSfree, které by to hlídalo celkově a umožňovalo ty útoky banovat dříve, než by to dorazilo k dalším žiletkám, by nemuselo být špatné… Když se o to někdo bude starat :) Jindra Dne Pá, 26. červenec 2019 v 10:47 h uživatel David Česal napsal:Ahoj, SSH mám v iptables povolené jen pro vyjmenované IP adresy, jinak drop. Fail2ban používám pro banování těch, co zkouší heslo na mailserver, podle vlastních předpisů v logu, typicky: 2019-07-26T10:00:36.625923+02:00 vpsfree postfix/smtps/smtpd[15047]: Anonymous TLS connection established from unknown[185.211.245.170]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) 2019-07-26T10:00:40.447499+02:00 vpsfree postfix/smtps/smtpd[15047]: warning: unknown[185.211.245.170]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 2019-07-26T10:00:40.635714+02:00 vpsfree postfix/smtps/smtpd[15047]: lost connection after AUTH from unknown[185.211.245.170] 2019-07-26T10:00:40.635790+02:00 vpsfree postfix/smtps/smtpd[15047]: disconnect from unknown[185.211.245.170] ehlo=1 auth=0/1 commands=1/2 Těch (automatizovaných) pokusů je každý den dost. Nějak to řešit jinak, to se mi zdá nereálné - banovat a nechat být. David -----Original Message----- From: Community-list <community-list-bounces@lists.vpsfree.cz <mailto:community-list-bounces@lists.vpsfree.cz>> On Behalf Of Vašek Kratochvíl Sent: Friday, July 26, 2019 10:37 AM To: community-list@lists.vpsfree.cz <mailto:community-list@lists.vpsfree.cz> Subject: [vpsFree.cz: community-list] Sdílený / společný abuse report / management Dobrý den, ahoj všem, v principu pokračuju ve vláknu "Sirka pasma" (původně začlo v https://lists.vpsfree.cz/pipermail/community-list/2019-July/010081.html) a pokračovalo legálností a tak. Mám otázku: vidím na své vpsce nějaké neslušné aktivity, scany, asi hádání hesel a tak. Máte zájem to řešit nějak společně? Případně se můžete vyjádřit, že vás to zrovna nezajímá :-) Teoreticky bych mohl někomu posílat seznam třeba zajímavých událostí s četností více než 10 výskytů za den. Pokud by to bylo třeba u třetiny členů, mělo by to větší vypovídající hodnotu. Překvapilo mne, že mam cca 19.000 výskytů v přístupu na ssh za den, fail2ban nic, v iptables cca v řádu vteřin, ale nejsem si jistý, co to bylo za aplikační provoz. Čili jestli to není něco nového, 25. 7. cca v 8:27 SELČ to skončilo. Pokud už něco takového je, můžete dát vědět. S pozdravem Vencour _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> http://lists.vpsfree.cz/listinfo/community-list_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Něco podobného jsem řešil taky - sbíráme data o neúspěšných pokusech o přihlášení do administrace webů a když se stejná IP objeví na více strojích současně, tak se na nějakou dobu blokne v celém datacentru - při opakovaných blokacích na týden.
Co jsem koukal, blokuje to IP adresy patřící zejména zahraničním web/vps/server hostingům - <rejp>asi je těch tři a půl pokusu za den netankuje</rejp> - takže to považuju za úspěch.
Říkal jsem si, že sdílet taková data přes víc datacenter (a organizací) by nebyl špatný nápad, ale byla by okolo toho spousta práce. Krom toho určitě nejsme první, koho to napadlo, takže možná už něco existuje a jde se k tomu přidat.
J.
On 26. 07. 19 10:37, Vašek Kratochvíl wrote:
Dobrý den, ahoj všem,
v principu pokračuju ve vláknu "Sirka pasma" (původně začlo v https://lists.vpsfree.cz/pipermail/community-list/2019-July/010081.html) a pokračovalo legálností a tak.
Mám otázku: vidím na své vpsce nějaké neslušné aktivity, scany, asi hádání hesel a tak. Máte zájem to řešit nějak společně? Případně se můžete vyjádřit, že vás to zrovna nezajímá :-)
Teoreticky bych mohl někomu posílat seznam třeba zajímavých událostí s četností více než 10 výskytů za den. Pokud by to bylo třeba u třetiny členů, mělo by to větší vypovídající hodnotu.
Překvapilo mne, že mam cca 19.000 výskytů v přístupu na ssh za den, fail2ban nic, v iptables cca v řádu vteřin, ale nejsem si jistý, co to bylo za aplikační provoz. Čili jestli to není něco nového, 25. 7. cca v 8:27 SELČ to skončilo.
Pokud už něco takového je, můžete dát vědět.
S pozdravem Vencour
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Krom toho určitě nejsme první, koho to napadlo, takže možná už něco existuje a jde se k tomu přidat.
Není tohle právě důvod vzniku a funkce CSIRTu?
Martin Sivák
pá 26. 7. 2019 v 12:05 odesílatel Jirka Bourek vpsfree-list@keroub.cz napsal:
Něco podobného jsem řešil taky - sbíráme data o neúspěšných pokusech o přihlášení do administrace webů a když se stejná IP objeví na více strojích současně, tak se na nějakou dobu blokne v celém datacentru - při opakovaných blokacích na týden.
Co jsem koukal, blokuje to IP adresy patřící zejména zahraničním web/vps/server hostingům - <rejp>asi je těch tři a půl pokusu za den netankuje</rejp> - takže to považuju za úspěch.
Říkal jsem si, že sdílet taková data přes víc datacenter (a organizací) by nebyl špatný nápad, ale byla by okolo toho spousta práce. Krom toho určitě nejsme první, koho to napadlo, takže možná už něco existuje a jde se k tomu přidat.
J.
On 26. 07. 19 10:37, Vašek Kratochvíl wrote:
Dobrý den, ahoj všem,
v principu pokračuju ve vláknu "Sirka pasma" (původně začlo v https://lists.vpsfree.cz/pipermail/community-list/2019-July/010081.html) a pokračovalo legálností a tak.
Mám otázku: vidím na své vpsce nějaké neslušné aktivity, scany, asi hádání hesel a tak. Máte zájem to řešit nějak společně? Případně se můžete vyjádřit, že vás to zrovna nezajímá :-)
Teoreticky bych mohl někomu posílat seznam třeba zajímavých událostí s četností více než 10 výskytů za den. Pokud by to bylo třeba u třetiny členů, mělo by to větší vypovídající hodnotu.
Překvapilo mne, že mam cca 19.000 výskytů v přístupu na ssh za den, fail2ban nic, v iptables cca v řádu vteřin, ale nejsem si jistý, co to bylo za aplikační provoz. Čili jestli to není něco nového, 25. 7. cca v 8:27 SELČ to skončilo.
Pokud už něco takového je, můžete dát vědět.
S pozdravem Vencour
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
On 26. 07. 19 12:16, Martin Sivák wrote:
Krom toho určitě nejsme první, koho to napadlo, takže možná už něco existuje a jde se k tomu přidat.
Není tohle právě důvod vzniku a funkce CSIRTu?
Martin Sivák
Možná? :-)
ale o žádném API nebo něčem, kam by se dalo automaticky hlásit škodiče a ze kterého by se dal stáhnout seznam škodičů nahlášených ostatními, od nich nevím.
Boti....tohle nema vubec cenu resit, vsechno tohle jsou boti, co 24/7 scanujou internet a zkousej slovniky na portu 22. Staci mit povolenou autentizaci jenom klicema a je to jenom otravny "sum internetu". Hlasit to nikam nema ani cenu, jsou to IPcka bud cloudovejch provideru typu OVH nebo AWS a nebo to jsou ruzny domaci pripojky v cine, rusku, brazilii apod., tedy vsechno organizace, ktere na tenhle typ abuse reportu kaslou.
Muzeme si udelat nejakej seznam "interni VPSFree", kam automaticky budem reportovat utocny IP adresy, ale otazka jak to overovat ve smyslu "moje konkurence bezi na vpsfree, tak jim nareportuju utoky ze vsech ceskejch a slovenskej ASN". Mnohem vetsi smysl dava proste nasadit fail2ban a dal neresit, max. si nechat posilat maily.
OF
---------- Původní e-mail ---------- Od: Vašek Kratochvíl vencour@gmail.com Komu: community-list@lists.vpsfree.cz Datum: 26. 7. 2019 10:37:45 Předmět: [vpsFree.cz: community-list] Sdílený / společný abuse report / management " Dobrý den, ahoj všem,
v principu pokračuju ve vláknu "Sirka pasma" (původně začlo v https://lists.vpsfree.cz/pipermail/community-list/2019-July/010081.html) a pokračovalo legálností a tak.
Mám otázku: vidím na své vpsce nějaké neslušné aktivity, scany, asi hádání hesel a tak. Máte zájem to řešit nějak společně? Případně se můžete vyjádřit, že vás to zrovna nezajímá :-)
Teoreticky bych mohl někomu posílat seznam třeba zajímavých událostí s četností více než 10 výskytů za den. Pokud by to bylo třeba u třetiny členů, mělo by to větší vypovídající hodnotu.
Překvapilo mne, že mam cca 19.000 výskytů v přístupu na ssh za den, fail2ban nic, v iptables cca v řádu vteřin, ale nejsem si jistý, co to bylo za aplikační provoz. Čili jestli to není něco nového, 25. 7. cca v 8:27 SELČ to skončilo.
Pokud už něco takového je, můžete dát vědět.
S pozdravem Vencour
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list "
community-list@lists.vpsfree.cz
-
David Česal -
Jindřich Sadílek -
Jirka Bourek -
Martin Sivák -
Ondrej.Flidr -
Vašek Kratochvíl -
zd nex