Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 12
  1. #1
    Benutzer
    Registriert seit
    03.08.2012
    Beiträge
    61

    Angriffswelle aus dem Iran

    Hallo,

    gerade eben habe ich meine Server-Logs routinemäßig durchgeschaut. In der Firewall sind mir vermehrt IPs aus dem Iran aufgefallen, die meinen Server nach offenen Ports gescannt haben, und versucht haben sich bei verschiedenen Diensten "anzumelden". Mein Sicherheitskonzept hat sofort reagiert (für verdächtige Staaten besteht ein zero-tolerence rule, sprich sofortiges Netzwerkweites sperren in der Firewall).

    Hierbei geht es um die IP-Range:

    188.158.0.0 - 188.159.255.255
    89.165.0.0 - 89.165.127.255


    Ich wollte daher mal bei euch fragen, wie Ihr euch schützt, oder ob euch auch etwas bekannt ist?
    Geändert von easynetwork (26.06.2013 um 18:07 Uhr)

  2. #2
    Erfahrener Benutzer
    Registriert seit
    10.05.2013
    Beiträge
    153
    Servusle,

    also - "Angriffswellen" sind nix Neues. Es sind täglich Hunderttausende, wenn nicht gar Millionen BOT´s/BOTNet´s/ und auch paar richtige Menschen unterwegs, um sämtliche verfügbaren IP´s nach Schwachstellen ab zu suchen.
    Verdächtige Staaten ......naja, könnte man also alle als verdächtig einstufen, auch in Deutschland gibt es noch immer Leute, die nicht mehr Herr über ihre PC´s sind und diese fernsteuern lassen (wenn auch unwissend).
    Der Großteil scannt - meiner Erfahrung nach - Standardport´s wie den 21 für FTP, 25 für Mail etc.

    Da ich aber nicht gern öffentlich über meine "Security" schreibe, nur so viel dazu: Firewall läuft, ist aber nicht so aggressiv eingestellt wie deine. Ich will ja nicht die ganze Welt aussperren.
    RKHunter, chkrootkit und Fail2Ban reichen eigentlich.
    Naja - ssh ist auch abgesichert, FTP Port nicht Standard usw.

  3. #3
    Benutzer
    Registriert seit
    03.08.2012
    Beiträge
    61
    Moin,

    ja, die meisten sind Bot's / bzw automatisierte Scans auf den üblich verdächtigen Ports. Nur was wirklich komisch war, ist, dass ich wirklich hunderte IPs aus den o.g. Netzen bei mir untereinander wiederfinde. Frei nach "Ui, ist die erste IP gesperrt, nehmen wir halt eine andere". Das fand ich schon ungewöhnlich. Normalerweise verteilen sich die IPs alle, aber hier war wirklich innerhalb einer halben Stunde sämtliche IPs aus der o.g. Range bei mir in den Logs. Da dachte ich mir, dass dies eigentlich nicht sein könne.... Daher nur mal so meine Nachfrage...

  4. #4
    Gesperrt
    Registriert seit
    11.06.2013
    Beiträge
    56
    Ist auch ein verdammt großer Range, der Zweite

  5. #5
    Erfahrener Benutzer
    Registriert seit
    23.02.2013
    Beiträge
    211
    Ich habe vor Jahren ein Script entwickelt mit dem ich einfach ganze Ranges pro Land über die IPTables sperren kann. Ich persönlich brauche das Script nur für Dev Systeme oder dann wen ich ein neues System aufbaue.

    http://dev.w2k.ch/system-tools/blocktraffic

    Die einzelnen Zonen werden einmal in der Nacht neu generiert (https://files.w2k.ch/ipblocks/)...

  6. #6
    Erfahrener Benutzer
    Registriert seit
    27.12.2013
    Ort
    Emsdetten
    Beiträge
    136
    Erstmal Geil für das Script... und das Funktioniert auch?

    Lass es gerade durchlaufen... Also richtet er das so ein dass die Zonen automatisch von dem Programm IPtables übernommen werden?
    Mit freundlichen Grüßen

    Christoph Herthel
    Am Perrediek 53
    48282 Emsdetten

    Tel.: +49(0)2572/
    967 004 9
    Fax.: +49(0)2572/ 967 287 7
    Mobil: +49(0)176/ 45 9898 33
    E-Mail: me@hchristo.de
    Homepage: www.hchristo.de

  7. #7
    Erfahrener Benutzer
    Registriert seit
    23.02.2013
    Beiträge
    211
    Das ist das Ziel, kannst ja nach dem durchlauf mit iptabels -L die aktuellen Regeln anschauen �� kann aber länger dauern...

    Aktuell sind aber egal ob die Range geblockt ist 80 und 443 zugelassen, falls du das so nicht brauchst einfach anpassen und das Script nochmals durchlaufen lassen...

    ALLOWPORTS="80,443"

    Welches OS verwendest du?

  8. #8
    Erfahrener Benutzer
    Registriert seit
    27.12.2013
    Ort
    Emsdetten
    Beiträge
    136
    Debian 7 (Debian Version 7.5) 64bit

    ja das anzeigen von iptabels -L dauert echt lange

    Hat er scheinbar geschluckt... GEILES SCRIPT! Danke dir!!!
    Mit freundlichen Grüßen

    Christoph Herthel
    Am Perrediek 53
    48282 Emsdetten

    Tel.: +49(0)2572/
    967 004 9
    Fax.: +49(0)2572/ 967 287 7
    Mobil: +49(0)176/ 45 9898 33
    E-Mail: me@hchristo.de
    Homepage: www.hchristo.de

  9. #9
    Erfahrener Benutzer
    Registriert seit
    23.02.2013
    Beiträge
    211
    Kein Problem

  10. #10
    Benutzer
    Registriert seit
    13.07.2012
    Beiträge
    59
    Moin,

    die csf Firewall von configserver erfüllt alle o.g. Features und noch etliches mehr:
    http://configserver.com/cp/csf.html

    Beste Grüße

    eiclinde

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •