[vpsFree.cz: community-list] {SPAM 05.3} Re: Sdílený / společný abuse report / management
Vašek Kratochvíl
vencour at gmail.com
Fri Jul 26 12:31:59 CEST 2019
Jestli to chápu dobře, tak aplikační démoni hlídají pouze v principu
korektní stavy, tj. když není zadáno dobře heslo. Proto mi třeba
fail2ban nic nezahlásil, i když iptables vidí komunikaci na port 22.
Například ohledně centrálního sběru dat má denyhosts umět ono
reportování - viz např. http://denyhosts.sourceforge.net/faq.html#4_0
/What is synchronization mode?//
//
//DenyHosts v2.0 and later introduces //synchronization mode//which
allows DenyHosts daemons the ability to transmit denied host data to a
central remote server (hosted by denyhosts.net). Additionally, DenyHosts
daemons can also receive data that other DenyHosts daemons have sent to
the central server. This feature is intended to provide the ability to
proactively deny ip addresses that have attacked other users of
DenyHosts. That is, each DenyHosts 2.0 (or later) user can benefit from
other users of Denyhosts. Similarly each DenyHosts user can benefit
other DenyHosts users. /
Sám jsem to ještě nepoužil.
V.
On 26. 07. 19 12:27, zd nex wrote:
> Ahojte,
> popravdě nad tímto jsem také přemýšel. Nyní mám např. SSH otevřený pro
> vybrané IP. Pokud bychom ale nad celým rozsahem serverů mohli mít
> firewall/IDS, mohlo by to být zajímavé.
>
> Zdeněk
> Web: www.pripravto.cz <http://www.pripravto.cz>
>
> pá 26. 7. 2019 v 11:41 odesílatel Jindřich Sadílek
> <jindrich.sadilek at gmail.com <mailto:jindrich.sadilek at gmail.com>> napsal:
>
> SSHguard, fail2ban,...
>
> Ale nějaké - dobrovolné - IDS nad celým VPSfree, které by to
> hlídalo celkově a umožňovalo ty útoky banovat dříve, než by to
> dorazilo k dalším žiletkám, by nemuselo být špatné…
>
> Když se o to někdo bude starat :)
>
> Jindra
>
> Dne Pá, 26. červenec 2019 v 10:47 h uživatel David Česal napsal:
>> Ahoj,
>>
>> SSH mám v iptables povolené jen pro vyjmenované IP adresy, jinak
>> drop.
>>
>> Fail2ban používám pro banování těch, co zkouší heslo na
>> mailserver, podle vlastních předpisů v logu, typicky:
>>
>> 2019-07-26T10:00:36.625923+02:00 vpsfree
>> postfix/smtps/smtpd[15047]: Anonymous TLS connection established
>> from unknown[185.211.245.170]: TLSv1.2 with cipher
>> ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
>> 2019-07-26T10:00:40.447499+02:00 vpsfree
>> postfix/smtps/smtpd[15047]: warning: unknown[185.211.245.170]:
>> SASL LOGIN authentication failed: UGFzc3dvcmQ6
>> 2019-07-26T10:00:40.635714+02:00 vpsfree
>> postfix/smtps/smtpd[15047]: lost connection after AUTH from
>> unknown[185.211.245.170]
>> 2019-07-26T10:00:40.635790+02:00 vpsfree
>> postfix/smtps/smtpd[15047]: disconnect from
>> unknown[185.211.245.170] ehlo=1 auth=0/1 commands=1/2
>>
>> Těch (automatizovaných) pokusů je každý den dost. Nějak to řešit
>> jinak, to se mi zdá nereálné - banovat a nechat být.
>>
>> David
>>
>> -----Original Message-----
>> From: Community-list <community-list-bounces at lists.vpsfree.cz
>> <mailto:community-list-bounces at lists.vpsfree.cz>> On Behalf Of
>> Vašek Kratochvíl
>> Sent: Friday, July 26, 2019 10:37 AM
>> To: community-list at lists.vpsfree.cz
>> <mailto:community-list at lists.vpsfree.cz>
>> Subject: [vpsFree.cz: community-list] Sdílený / společný abuse
>> report / management
>>
>>
>> Dobrý den, ahoj všem,
>>
>>
>> v principu pokračuju ve vláknu "Sirka pasma" (původně začlo v
>> https://lists.vpsfree.cz/pipermail/community-list/2019-July/010081.html)
>> a pokračovalo legálností a tak.
>>
>> Mám otázku: vidím na své vpsce nějaké neslušné aktivity, scany,
>> asi hádání hesel a tak. Máte zájem to řešit nějak společně?
>> Případně se můžete vyjádřit, že vás to zrovna nezajímá :-)
>>
>> Teoreticky bych mohl někomu posílat seznam třeba zajímavých
>> událostí s četností více než 10 výskytů za den. Pokud by to bylo
>> třeba u třetiny členů, mělo by to větší vypovídající hodnotu.
>>
>> Překvapilo mne, že mam cca 19.000 výskytů v přístupu na ssh za
>> den, fail2ban nic, v iptables cca v řádu vteřin, ale nejsem si
>> jistý, co to bylo za aplikační provoz. Čili jestli to není něco
>> nového, 25. 7. cca v
>> 8:27 SELČ to skončilo.
>>
>> Pokud už něco takového je, můžete dát vědět.
>>
>>
>> S pozdravem
>> Vencour
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> <mailto:Community-list at lists.vpsfree.cz>
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> <mailto:Community-list at lists.vpsfree.cz>
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> <mailto:Community-list at lists.vpsfree.cz>
> http://lists.vpsfree.cz/listinfo/community-list
>
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20190726/bf421b9d/attachment-0001.html>
More information about the Community-list
mailing list