BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) , Bots und Bitcoin

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...
11Mai/100

SSH-Angriffe mit Fail2Ban stoppen und melden – blocklist.de

Wer mit Fail2Ban z.B. SSH-Angriffe oder Einbruchsversuche via SMTP, FTP
oder über den Apache überwacht und automatisch sperren lässt, kann mit
dem Projekt von http://www.blocklist.de die Angreifer automatisiert den zuständigen Provider melden, damit diese die infizierten PC's/Server
überprüfen, bzw. den Kunden darüber in Kenntnis setzten.

Im Vergleich zu dem direkten Reporting von Fail2Ban, sendet blocklist.de
nur alle 24 Stunden bei erneuten Angriffen ein Report, wodurch die
Abuse-Departments nicht alle paar Minuten einen Report erhalten (was
sehr nerven kann). Die Abuse-Departments können die Reports zudem für
mehrere Tage aussetzten lassen, falls diese z.B. für die Bereinigung
mehr Zeit benötigen.

Als registrierter User, sieht man über seine Server eigene Statistiken
oder kann sich mit den anderen Servern vergleichen und auch die
IP-Adressen der Angreifer für eigene Firewalls der letzten 24 Stunden
herunter laden.
Die Reports werden in X-ARF (http://www.x-arf.org/) generiert, wodurch
die Reports automatisiert verarbeitet und einfach erweitert werden können.
Die Bounce-Mails werden automatisch ausgewertet und so veraltete
Abuse-Adressen angepasst oder auf Wunsch gegen bessere Adressen ersetzt.

Die Beispiel-Konfiguration
(http://www.blocklist.de/downloads/fail2ban.config.tar.gz) muss auf den
gängigsten Systemen nur in der jail.conf bei der Absender-Adresse von
"fail2ban@DEINE-DOMAIN" durch die eigene Absender-Adresse angepasst
werden und dann kann man den Server hinzufügen und reporten oder die Reports
weiterleiten.

veröffentlicht unter: Allgemein, Honeypot Kommentar schreiben
Kommentare (0) Trackbacks (0)

Zu diesem Artikel wurden noch keine Kommentare geschrieben.


Leave a comment

Noch keine Trackbacks.

/* google like button API */