26 Jul
2019
26 Jul
'19
8:37 a.m.
Dobrý den, ahoj všem,
v principu pokračuju ve vláknu "Sirka pasma" (původně začlo v
https://lists.vpsfree.cz/pipermail/community-list/2019-July/010081.html)
a pokračovalo legálností a tak.
Mám otázku: vidím na své vpsce nějaké neslušné aktivity, scany, asi
hádání hesel a tak. Máte zájem to řešit nějak společně? Případně se
můžete vyjádřit, že vás to zrovna nezajímá :-)
Teoreticky bych mohl někomu posílat seznam třeba zajímavých událostí s
četností více než 10 výskytů za den. Pokud by to bylo třeba u třetiny
členů, mělo by to větší vypovídající hodnotu.
Překvapilo mne, že mam cca 19.000 výskytů v přístupu na ssh za den,
fail2ban nic, v iptables cca v řádu vteřin, ale nejsem si jistý, co to
bylo za aplikační provoz. Čili jestli to není něco nového, 25. 7. cca v
8:27 SELČ to skončilo.
Pokud už něco takového je, můžete dát vědět.
S pozdravem
Vencour
26 Jul
26 Jul
8:47 a.m.
New subject: [vpsFree.cz: community-list] Sdílený / společný abuse report / management
Ahoj,
SSH mám v iptables povolené jen pro vyjmenované IP adresy, jinak drop.
Fail2ban používám pro banování těch, co zkouší heslo na mailserver, podle vlastních
předpisů v logu, typicky:
2019-07-26T10:00:36.625923+02:00 vpsfree postfix/smtps/smtpd[15047]: Anonymous TLS
connection established from unknown[185.211.245.170]: TLSv1.2 with cipher
ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
2019-07-26T10:00:40.447499+02:00 vpsfree postfix/smtps/smtpd[15047]: warning:
unknown[185.211.245.170]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
2019-07-26T10:00:40.635714+02:00 vpsfree postfix/smtps/smtpd[15047]: lost connection after
AUTH from unknown[185.211.245.170]
2019-07-26T10:00:40.635790+02:00 vpsfree postfix/smtps/smtpd[15047]: disconnect from
unknown[185.211.245.170] ehlo=1 auth=0/1 commands=1/2
Těch (automatizovaných) pokusů je každý den dost. Nějak to řešit jinak, to se mi zdá
nereálné - banovat a nechat být.
David
-----Original Message-----
From: Community-list <community-list-bounces(a)lists.vpsfree.cz> On Behalf Of Vašek
Kratochvíl
Sent: Friday, July 26, 2019 10:37 AM
To: community-list(a)lists.vpsfree.cz
Subject: [vpsFree.cz: community-list] Sdílený / společný abuse report / management
Dobrý den, ahoj všem,
v principu pokračuju ve vláknu "Sirka pasma" (původně začlo v
https://lists.vpsfree.cz/pipermail/community-list/2019-July/010081.html)
a pokračovalo legálností a tak.
Mám otázku: vidím na své vpsce nějaké neslušné aktivity, scany, asi hádání hesel a tak.
Máte zájem to řešit nějak společně? Případně se můžete vyjádřit, že vás to zrovna nezajímá
:-)
Teoreticky bych mohl někomu posílat seznam třeba zajímavých událostí s četností více než
10 výskytů za den. Pokud by to bylo třeba u třetiny členů, mělo by to větší vypovídající
hodnotu.
Překvapilo mne, že mam cca 19.000 výskytů v přístupu na ssh za den, fail2ban nic, v
iptables cca v řádu vteřin, ale nejsem si jistý, co to bylo za aplikační provoz. Čili
jestli to není něco nového, 25. 7. cca v
8:27 SELČ to skončilo.
Pokud už něco takového je, můžete dát vědět.
S pozdravem
Vencour
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
9:40 a.m.
New subject: {SPAM 05.3} Re: Sdílený / společný abuse report / management
SSHguard, fail2ban,...
Ale nějaké - dobrovolné - IDS nad celým VPSfree, které by to hlídalo celkově a umožňovalo
ty útoky banovat dříve, než by to dorazilo k dalším žiletkám, by nemuselo být špatné…
Když se o to někdo bude starat :)
Jindra
Dne Pá, 26. červenec 2019 v 10:47 h uživatel David Česal napsal:
Ahoj,
SSH mám v iptables povolené jen pro vyjmenované IP adresy, jinak drop.
Fail2ban používám pro banování těch, co zkouší heslo na mailserver, podle vlastních
předpisů v logu, typicky:
2019-07-26T10:00:36.625923+02:00 vpsfree postfix/smtps/smtpd[15047]: Anonymous TLS
connection established from unknown[185.211.245.170]: TLSv1.2 with cipher
ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
2019-07-26T10:00:40.447499+02:00 vpsfree postfix/smtps/smtpd[15047]: warning:
unknown[185.211.245.170]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
2019-07-26T10:00:40.635714+02:00 vpsfree postfix/smtps/smtpd[15047]: lost connection
after AUTH from unknown[185.211.245.170]
2019-07-26T10:00:40.635790+02:00 vpsfree postfix/smtps/smtpd[15047]: disconnect from
unknown[185.211.245.170] ehlo=1 auth=0/1 commands=1/2
Těch (automatizovaných) pokusů je každý den dost. Nějak to řešit jinak, to se mi zdá
nereálné - banovat a nechat být.
David
-----Original Message-----
From: Community-list <community-list-bounces(a)lists.vpsfree.cz> On Behalf Of Vašek
Kratochvíl
Sent: Friday, July 26, 2019 10:37 AM
To: community-list(a)lists.vpsfree.cz
Subject: [vpsFree.cz: community-list] Sdílený / společný abuse report / management
Dobrý den, ahoj všem,
v principu pokračuju ve vláknu "Sirka pasma" (původně začlo v
https://lists.vpsfree.cz/pipermail/community-list/2019-July/010081.html)
a pokračovalo legálností a tak.
Mám otázku: vidím na své vpsce nějaké neslušné aktivity, scany, asi hádání hesel a tak.
Máte zájem to řešit nějak společně? Případně se můžete vyjádřit, že vás to zrovna nezajímá
:-)
Teoreticky bych mohl někomu posílat seznam třeba zajímavých událostí s četností více než
10 výskytů za den. Pokud by to bylo třeba u třetiny členů, mělo by to větší vypovídající
hodnotu.
Překvapilo mne, že mam cca 19.000 výskytů v přístupu na ssh za den, fail2ban nic, v
iptables cca v řádu vteřin, ale nejsem si jistý, co to bylo za aplikační provoz. Čili
jestli to není něco nového, 25. 7. cca v
8:27 SELČ to skončilo.
Pokud už něco takového je, můžete dát vědět.
S pozdravem
Vencour
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
10:27 a.m.
New subject: [vpsFree.cz: community-list] {SPAM 05.3} Re: Sdílený / společný abuse report / management
Ahojte,
popravdě nad tímto jsem také přemýšel. Nyní mám např. SSH otevřený pro
vybrané IP. Pokud bychom ale nad celým rozsahem serverů mohli mít
firewall/IDS, mohlo by to být zajímavé.
Zdeněk
Web: www.pripravto.cz
pá 26. 7. 2019 v 11:41 odesílatel Jindřich Sadílek <
jindrich.sadilek(a)gmail.com> napsal:
SSHguard, fail2ban,...
Ale nějaké - dobrovolné - IDS nad celým VPSfree, které by to hlídalo
celkově a umožňovalo ty útoky banovat dříve, než by to dorazilo k dalším
žiletkám, by nemuselo být špatné…
Když se o to někdo bude starat :)
Jindra
Dne Pá, 26. červenec 2019 v 10:47 h uživatel David Česal napsal:
Ahoj,
SSH mám v iptables povolené jen pro vyjmenované IP adresy, jinak drop.
Fail2ban používám pro banování těch, co zkouší heslo na mailserver, podle
vlastních předpisů v logu, typicky:
2019-07-26T10:00:36.625923+02:00 vpsfree postfix/smtps/smtpd[15047]:
Anonymous TLS connection established from unknown[185.211.245.170]: TLSv1.2
with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
2019-07-26T10:00:40.447499+02:00 vpsfree postfix/smtps/smtpd[15047]:
warning: unknown[185.211.245.170]: SASL LOGIN authentication failed:
UGFzc3dvcmQ6
2019-07-26T10:00:40.635714+02:00 vpsfree postfix/smtps/smtpd[15047]: lost
connection after AUTH from unknown[185.211.245.170]
2019-07-26T10:00:40.635790+02:00 vpsfree postfix/smtps/smtpd[15047]:
disconnect from unknown[185.211.245.170] ehlo=1 auth=0/1 commands=1/2
Těch (automatizovaných) pokusů je každý den dost. Nějak to řešit jinak, to
se mi zdá nereálné - banovat a nechat být.
David
-----Original Message-----
From: Community-list <community-list-bounces(a)lists.vpsfree.cz> On Behalf
Of Vašek Kratochvíl
Sent: Friday, July 26, 2019 10:37 AM
To: community-list(a)lists.vpsfree.cz
Subject: [vpsFree.cz: community-list] Sdílený / společný abuse report /
management
Dobrý den, ahoj všem,
v principu pokračuju ve vláknu "Sirka pasma" (původně začlo v
https://lists.vpsfree.cz/pipermail/community-list/2019-July/010081.html)
a pokračovalo legálností a tak.
Mám otázku: vidím na své vpsce nějaké neslušné aktivity, scany, asi hádání
hesel a tak. Máte zájem to řešit nějak společně? Případně se můžete
vyjádřit, že vás to zrovna nezajímá :-)
Teoreticky bych mohl někomu posílat seznam třeba zajímavých událostí s
četností více než 10 výskytů za den. Pokud by to bylo třeba u třetiny
členů, mělo by to větší vypovídající hodnotu.
Překvapilo mne, že mam cca 19.000 výskytů v přístupu na ssh za den,
fail2ban nic, v iptables cca v řádu vteřin, ale nejsem si jistý, co to bylo
za aplikační provoz. Čili jestli to není něco nového, 25. 7. cca v
8:27 SELČ to skončilo.
Pokud už něco takového je, můžete dát vědět.
S pozdravem
Vencour
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
10:31 a.m.
New subject: {SPAM 05.3} Re: Sdílený / společný abuse report / management
Jestli to chápu dobře, tak aplikační démoni hlídají pouze v principu
korektní stavy, tj. když není zadáno dobře heslo. Proto mi třeba
fail2ban nic nezahlásil, i když iptables vidí komunikaci na port 22.
Například ohledně centrálního sběru dat má denyhosts umět ono
reportování - viz např. http://denyhosts.sourceforge.net/faq.html#4_0
/What is synchronization mode?//
//
//DenyHosts v2.0 and later introduces //synchronization mode//which
allows DenyHosts daemons the ability to transmit denied host data to a
central remote server (hosted by denyhosts.net). Additionally, DenyHosts
daemons can also receive data that other DenyHosts daemons have sent to
the central server. This feature is intended to provide the ability to
proactively deny ip addresses that have attacked other users of
DenyHosts. That is, each DenyHosts 2.0 (or later) user can benefit from
other users of Denyhosts. Similarly each DenyHosts user can benefit
other DenyHosts users. /
Sám jsem to ještě nepoužil.
V.
On 26. 07. 19 12:27, zd nex wrote:
Ahojte,
popravdě nad tímto jsem také přemýšel. Nyní mám např. SSH otevřený pro
vybrané IP. Pokud bychom ale nad celým rozsahem serverů mohli mít
firewall/IDS, mohlo by to být zajímavé.
Zdeněk
Web: www.pripravto.cz <http://www.pripravto.cz>
pá 26. 7. 2019 v 11:41 odesílatel Jindřich Sadílek
<jindrich.sadilek(a)gmail.com <mailto:jindrich.sadilek@gmail.com>> napsal:
SSHguard, fail2ban,...
Ale nějaké - dobrovolné - IDS nad celým VPSfree, které by to
hlídalo celkově a umožňovalo ty útoky banovat dříve, než by to
dorazilo k dalším žiletkám, by nemuselo být špatné…
Když se o to někdo bude starat :)
Jindra
Dne Pá, 26. červenec 2019 v 10:47 h uživatel David Česal napsal:
Ahoj,
SSH mám v iptables povolené jen pro vyjmenované IP adresy, jinak
drop.
Fail2ban používám pro banování těch, co zkouší heslo na
mailserver, podle vlastních předpisů v logu, typicky:
2019-07-26T10:00:36.625923+02:00 vpsfree
postfix/smtps/smtpd[15047]: Anonymous TLS connection established
from unknown[185.211.245.170]: TLSv1.2 with cipher
ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
2019-07-26T10:00:40.447499+02:00 vpsfree
postfix/smtps/smtpd[15047]: warning: unknown[185.211.245.170]:
SASL LOGIN authentication failed: UGFzc3dvcmQ6
2019-07-26T10:00:40.635714+02:00 vpsfree
postfix/smtps/smtpd[15047]: lost connection after AUTH from
unknown[185.211.245.170]
2019-07-26T10:00:40.635790+02:00 vpsfree
postfix/smtps/smtpd[15047]: disconnect from
unknown[185.211.245.170] ehlo=1 auth=0/1 commands=1/2
Těch (automatizovaných) pokusů je každý den dost. Nějak to řešit
jinak, to se mi zdá nereálné - banovat a nechat být.
David
-----Original Message-----
From: Community-list <community-list-bounces(a)lists.vpsfree.cz
<mailto:community-list-bounces@lists.vpsfree.cz>> On Behalf Of
Vašek Kratochvíl
Sent: Friday, July 26, 2019 10:37 AM
To: community-list(a)lists.vpsfree.cz
<mailto:community-list@lists.vpsfree.cz>
Subject: [vpsFree.cz: community-list] Sdílený / společný abuse
report / management
Dobrý den, ahoj všem,
v principu pokračuju ve vláknu "Sirka pasma" (původně začlo v
https://lists.vpsfree.cz/pipermail/community-list/2019-July/010081.html)
a pokračovalo legálností a tak.
Mám otázku: vidím na své vpsce nějaké neslušné aktivity, scany,
asi hádání hesel a tak. Máte zájem to řešit nějak společně?
Případně se můžete vyjádřit, že vás to zrovna nezajímá :-)
Teoreticky bych mohl někomu posílat seznam třeba zajímavých
událostí s četností více než 10 výskytů za den. Pokud by to bylo
třeba u třetiny členů, mělo by to větší vypovídající hodnotu.
Překvapilo mne, že mam cca 19.000 výskytů v přístupu na ssh za
den, fail2ban nic, v iptables cca v řádu vteřin, ale nejsem si
jistý, co to bylo za aplikační provoz. Čili jestli to není něco
nového, 25. 7. cca v
8:27 SELČ to skončilo.
Pokud už něco takového je, můžete dát vědět.
S pozdravem
Vencour
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list 
10:05 a.m.
Něco podobného jsem řešil taky - sbíráme data o neúspěšných pokusech o
přihlášení do administrace webů a když se stejná IP objeví na více
strojích současně, tak se na nějakou dobu blokne v celém datacentru -
při opakovaných blokacích na týden.
Co jsem koukal, blokuje to IP adresy patřící zejména zahraničním
web/vps/server hostingům - <rejp>asi je těch tři a půl pokusu za den
netankuje</rejp> - takže to považuju za úspěch.
Říkal jsem si, že sdílet taková data přes víc datacenter (a organizací)
by nebyl špatný nápad, ale byla by okolo toho spousta práce. Krom toho
určitě nejsme první, koho to napadlo, takže možná už něco existuje a jde
se k tomu přidat.
J.
On 26. 07. 19 10:37, Vašek Kratochvíl wrote:
Dobrý den, ahoj všem,
v principu pokračuju ve vláknu "Sirka pasma" (původně začlo v
https://lists.vpsfree.cz/pipermail/community-list/2019-July/010081.html)
a pokračovalo legálností a tak.
Mám otázku: vidím na své vpsce nějaké neslušné aktivity, scany, asi
hádání hesel a tak. Máte zájem to řešit nějak společně? Případně se
můžete vyjádřit, že vás to zrovna nezajímá :-)
Teoreticky bych mohl někomu posílat seznam třeba zajímavých událostí s
četností více než 10 výskytů za den. Pokud by to bylo třeba u třetiny
členů, mělo by to větší vypovídající hodnotu.
Překvapilo mne, že mam cca 19.000 výskytů v přístupu na ssh za den,
fail2ban nic, v iptables cca v řádu vteřin, ale nejsem si jistý, co to
bylo za aplikační provoz. Čili jestli to není něco nového, 25. 7. cca v
8:27 SELČ to skončilo.
Pokud už něco takového je, můžete dát vědět.
S pozdravem
Vencour
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
10:16 a.m.
New subject: [vpsFree.cz: community-list] Sdílený / společný abuse report / management
Krom toho
určitě nejsme první, koho to napadlo, takže možná už něco existuje a jde
se k tomu přidat.
Není tohle právě důvod vzniku a funkce CSIRTu?
Martin Sivák
pá 26. 7. 2019 v 12:05 odesílatel Jirka Bourek <vpsfree-list(a)keroub.cz> napsal:
Něco podobného jsem řešil taky - sbíráme data o neúspěšných pokusech o
přihlášení do administrace webů a když se stejná IP objeví na více
strojích současně, tak se na nějakou dobu blokne v celém datacentru -
při opakovaných blokacích na týden.
Co jsem koukal, blokuje to IP adresy patřící zejména zahraničním
web/vps/server hostingům - <rejp>asi je těch tři a půl pokusu za den
netankuje</rejp> - takže to považuju za úspěch.
Říkal jsem si, že sdílet taková data přes víc datacenter (a organizací)
by nebyl špatný nápad, ale byla by okolo toho spousta práce. Krom toho
určitě nejsme první, koho to napadlo, takže možná už něco existuje a jde
se k tomu přidat.
J.
On 26. 07. 19 10:37, Vašek Kratochvíl wrote:
Dobrý den, ahoj všem,
v principu pokračuju ve vláknu "Sirka pasma" (původně začlo v
https://lists.vpsfree.cz/pipermail/community-list/2019-July/010081.html)
a pokračovalo legálností a tak.
Mám otázku: vidím na své vpsce nějaké neslušné aktivity, scany, asi
hádání hesel a tak. Máte zájem to řešit nějak společně? Případně se
můžete vyjádřit, že vás to zrovna nezajímá :-)
Teoreticky bych mohl někomu posílat seznam třeba zajímavých událostí s
četností více než 10 výskytů za den. Pokud by to bylo třeba u třetiny
členů, mělo by to větší vypovídající hodnotu.
Překvapilo mne, že mam cca 19.000 výskytů v přístupu na ssh za den,
fail2ban nic, v iptables cca v řádu vteřin, ale nejsem si jistý, co to
bylo za aplikační provoz. Čili jestli to není něco nového, 25. 7. cca v
8:27 SELČ to skončilo.
Pokud už něco takového je, můžete dát vědět.
S pozdravem
Vencour
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
10:22 a.m.
On 26. 07. 19 12:16, Martin Sivák wrote:
Možná? :-)
ale o žádném API nebo něčem, kam by se dalo automaticky hlásit škodiče a
ze kterého by se dal stáhnout seznam škodičů nahlášených ostatními, od
nich nevím.
Krom toho
určitě nejsme první, koho to napadlo, takže možná už něco existuje a jde
se k tomu přidat.
Není tohle právě důvod vzniku a funkce CSIRTu?
Martin Sivák
10:41 a.m.
New subject: [vpsFree.cz: community-list] Sdílený / společný abuse report / management
Boti....tohle nema vubec cenu resit, vsechno tohle jsou boti, co 24/7
scanujou internet a zkousej slovniky na portu 22. Staci mit povolenou
autentizaci jenom klicema a je to jenom otravny "sum internetu". Hlasit to
nikam nema ani cenu, jsou to IPcka bud cloudovejch provideru typu OVH nebo
AWS a nebo to jsou ruzny domaci pripojky v cine, rusku, brazilii apod., tedy
vsechno organizace, ktere na tenhle typ abuse reportu kaslou.
Muzeme si udelat nejakej seznam "interni VPSFree", kam automaticky budem
reportovat utocny IP adresy, ale otazka jak to overovat ve smyslu "moje
konkurence bezi na vpsfree, tak jim nareportuju utoky ze vsech ceskejch a
slovenskej ASN". Mnohem vetsi smysl dava proste nasadit fail2ban a dal
neresit, max. si nechat posilat maily.
OF
---------- Původní e-mail ----------
Od: Vašek Kratochvíl <vencour(a)gmail.com>
Komu: community-list(a)lists.vpsfree.cz
Datum: 26. 7. 2019 10:37:45
Předmět: [vpsFree.cz: community-list] Sdílený / společný abuse report /
management
"
Dobrý den, ahoj všem,
v principu pokračuju ve vláknu "Sirka pasma" (původně začlo v
https://lists.vpsfree.cz/pipermail/community-list/2019-July/010081.html)
a pokračovalo legálností a tak.
Mám otázku: vidím na své vpsce nějaké neslušné aktivity, scany, asi
hádání hesel a tak. Máte zájem to řešit nějak společně? Případně se
můžete vyjádřit, že vás to zrovna nezajímá :-)
Teoreticky bych mohl někomu posílat seznam třeba zajímavých událostí s
četností více než 10 výskytů za den. Pokud by to bylo třeba u třetiny
členů, mělo by to větší vypovídající hodnotu.
Překvapilo mne, že mam cca 19.000 výskytů v přístupu na ssh za den,
fail2ban nic, v iptables cca v řádu vteřin, ale nejsem si jistý, co to
bylo za aplikační provoz. Čili jestli to není něco nového, 25. 7. cca v
8:27 SELČ to skončilo.
Pokud už něco takového je, můžete dát vědět.
S pozdravem
Vencour
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
"
1941
days inactive
1941
days old
community-list@lists.vpsfree.cz
8 comments
7 participants
participants (7)
-
David Česal -
Jindřich Sadílek -
Jirka Bourek -
Martin Sivák -
Ondrej.Flidr -
Vašek Kratochvíl -
zd nex