Plötzlich erhöhter Traffic

    Tag,


    Gestern Abend als ich meinen Server neu aufgesetzt habe, stieg der Traffic nach 10 auf einmal in Richtung 2GB. Jetzt sagt jeder das ist doch normal ... Naja das lustige das dort nichts drauf ist und fast keiner den Server kennt. Fail2Ban hat mir dann auch aufeinmal Mails geschickt das einige IP's gebannt hat die zum Teil Minimum 1500 Verbindungen in der Minute hatten. Ich weis jetzt nicht ob ich mir grundlos sorgen macht oder ... Weil die auf IP's auf Amerika Schweden Frankreich(ovh oô) zurück weißen.


    Gruß Max D.

    Ich würde das weiter im Auge behalten.
    Um welche IP´s handelt es sich genau und stehen diese in einer Blacklist drinnen?
    Wenn ja würde ich die IP´s über die Firewall (iptables) sperren, damit diese nicht weiter den SSH bzw. FTP Server zu spammen.

    Was bei einem SSH-Server auch schonmal hilft, ist es den Standard-Port von 22 auf z.b. das Jahr oder irgendwas anderes zu ändern.
    Viele Bots versuchen Standard Ports und scannen nicht direkt die ganze Kiste ab.

    Der Angreifer wird mit seinem Portscan so oder so keinen Erfolg gehabt haben, weil der SSH Standart Port gesperrt war und geändert. Der FTP ist genau so abgesichert und der Port geändert für die Angreifer sieht es so aus als hätte ich mich selbst ausgesperrt, was natürlich nur ein Trick ist ..

    Man bräuchte hier neben "Quote" noch "Money Quote":

    Zitat von Blaster

    für die Angreifer sieht es so aus als hätte ich mich selbst ausgesperrt, was natürlich nur ein Trick ist ..


    Was glaubst du denn für was ein Portscan dient?


    Nimm deine IP, schreib eine simple Schleife und warte auf die Anwort deines SSHd, wenn du jemand irritieren willst kannst du die Antwort ändern die der SSHd gibt, nicht den Port, den findet jedes Skript-Kiddie raus.
    Aber selbst das hilft nicht viel wenn ein Angreifer kommt der es direkt auf dich abgesehen hat, verbuche es also auch als Spielerei.