Beiträge von maxxom

Neueste Erkenntnisse: ich hatte heute das Glück auf dem noch komplett leeren Server direkt eine Art Ablauf von verschiedenen Brute force attacken zu verfolgen und hab das gleich genutzt und diverse Sachen mit iptables ausprobiert.

Innerhalb eineinhalb Stunden kamen von 8 verschiedenen IP's gesamt etwa 3800 Zugriffe. Eigentlich hauptsächlich für root aber auf hohen ports.

Zuerst nur für root. Nachdem ich den bewusst noch nicht verschobenen 22 er dann verlegt habe ging das trotzdem genauso weiter. Erst als ich den login für root disabled habe sind die Zugriffe innerhalb etwa 2 Minuten komplett zum Stillstand gekommen.

Jessas Maria, da hilft kein fail2ban mehr

Oh sorry, my bad. Hab ganz übersehen dass es sich hier ja um ein .png handelt. War etwas abgelenkt durch den Domainnamen

Ja, dann sollte das eigentlich funktionieren. Ich setze den Expires selektiv im php header wenn ich ihn brauche und hab mit Wordpress keine Erfahrung

Besten Dank für die Rückmeldung. Momentan hab ich auf dem neuen noch gar nichts laufen wo irgendwie sonst was versucht werden könnte als Port Scanning.

Ich fühle mich prinzipiell auch sehr sicher und denke dass ich alle Register gezogen habe die sinnvoll sind.

Aber irgendwie sind die momentan 769 gebannten in den iptables auch nicht so das gelbe vom Ei. Muss ja alles immer wieder durchwandert werden bevor sonst irgendwas geht.

Derzeit banne ich einen Tag, nach dem 3ten Versuch. Ich hatte schon eine Woche aber nach dem zweiten Tag fast 1400 gebannte IP's. Das macht sich beim reboot dann auch schon deutlich bemerkbar. Die gebannten die während der Verbannung wieder zugreifen bekommen einen Reject geliefert. In dem groben Umfang hatte ich so etwas noch nie. In der Größenordnung 50 bis 100 permanente meistens.

Bringt es vielleicht etwas wenn anstatt dem Reject ein Drop gesetzt wird? Darüber scheiden sich ja die Geister.

Ich hatte fast vermutet dass bei den beiden anderen Servern noch etwas davor sitzt was die Räuber abhält und dort deswegen völlige Ruhe ist.

# Your document html

ExpiresByType text/html "access plus 0 seconds"

sagt ja speziell dass Expires der Zeitpunkt des Zugriffs ist. Also direkt danach expired und damit wirds nicht gecached.

Htaccess ändern in "access plus X seconds"

Hallo Kollegen,

beim Einrichten meines dritten vServers hier bin ich die letzten Tage mal etwas überrascht gewesen dass mir meine fail2ban täglich etwa 800 verschiedene IP's wegen portscanning blockt. Die anderen 2 Server sind komplett still was dies anbelangt. Komplett still bedeutet absolut keine Auffälligkeiten.

Was habt ihr so für Zahlen was geblockte IP's anbelangt? Ich hab fast die Vermutung dass die mir zugewiesene IP früher entweder heftigst missbraucht werden konnte oder sonst irgendwie besonders interessant für port scanner war. Ich stelle jedoch seit Tagen keine Änderung fest in der Anzahl der gebannten IP's pro Tag.

Schönen Freitag Abend

Tom

Die verlinkte Liste würde ich nochmal genauer kontrollieren. Da sind nach einem kurzen ersten Blick mehrere aktive Googlebot Adressen dabei. Wäre wahrscheinlich nicht so glücklich diesen auszusperren.