Beiträge von vmk

clorch, du hast einen alten Dovecot. Version 2.x kann mit Zeitsprüngen besser umgehen. Ich hatte seit Dezember bisher nur 2 Zeitsprünge, 17s sowie 3027s.

Distribution?

Eigentlich sollte MySQL-Client als Abhängigkeit mitinstalliert worden sein. Oder umgehst du den Paketmanager?

Vermutung: Die FW-Regeln greifen erst für neue Verbindungen. Bestehende Verbindungen werden weiterhin gehalten und nicht geblockt.

1. Als root arbeitet man nicht.
2. Derivat?
3. Firewall?
4. Programm?
5. Log-Auszug?

Die IP und der Hostname passen nicht zusammen, sim.

Hat fail2ban eigentlich immernoch das Feature, das zuerst versucht wird den Login-Namen anstatt der IP zu bannen?

Früher gab es doch mal die Warnung, dass ein Posting mindestens 10 Zeichen/Wörter haben musste. Jetzt kommt nur noch:

Zitat

Ihre Angaben sind ungültig

Gibt es auch ein Plugin für das Brett, welches meckert wenn ein Beitrag im Leet-Speak ist oder/und keinerlei Satzzeichen enthält? Diese Beiträge sind einfach nur grausam zu Lesen :-/

sim, was ist das Schlimme an VNC? Ein Webserver, Mailserver nach "beliebig schlechten" Tutorial oder SSH-Server wird sicherlich auch nicht besser eingerichtet.

Zitat von sim

VNC [....] wenn man es nicht explizit konfiguriert ist die Verbindung nicht verschlüsselt. Passwortklau mit Man-in-the-Middle ist also kein Problem.

Der sollte dann wo konkret stattfinden? Der Nachbar der mein WLAN "gehackt" hat? Bei der Telekom oder bei netcup im Rechenzentrum? Versteh mich nicht falsch, aber ich denke diesem Angriffsszenario zufällig unterliegen ist unwahrscheinlich.
Wenn dann wird eher der Webserver mit Typo3, phpBB, etc missbraucht, der Mailserver übernommen oder es werden ssh-Passwörter durchgeraten.

Jeder erreichbare Port stellt Angriffsfläche da. SuSE, RedHat, etc gehen da ja schon sehr rigeros vor und blocken direkt nach der Installation erstmal alles. Ich glaube bei den Standard vServer-Zugängen von netcup sollte das ähnlich sein, oder? Und wer die Default-Regel einfach auf "ACCEPT" stellt, der macht das bewußt. So was macht man nicht ausversehen. So was macht man aus Verzweiflung wenn man eh nicht mehr weiter weiß.

Ich weiß nicht, wieso hier so viele unnötig Angst und Schrecken verbreiten müssen.

Das hat schon mal jemand versucht als PHP-Bug #55386 einzuwerfen, zum Glück erfolglos

Gegen localhost prüfen ist ja schön und gut, aber in welcher Distribution hat root den IP-mäßig unbeschränkten Zugriff auf MySQL? In der Standardkonfiguration ist doch sogar so, dass MySQL nichtmal per TCP/IP erreichbar ist.

vmk@itai-otakus ~ $ time whois google.com >> /dev/null




real    0m0.899s
user    0m0.002s
sys     0m0.041s
vmk@itai-otakus ~ $ time whois google.de >> /dev/null




real    0m0.098s
user    0m0.000s
sys     0m0.013s

DNS-Abfragen (vorwärts,rückwärts) klappen ansonsten problemlos?

Zitat von writetome

EDIT: Die Leitung ist fast zu 100% zu teilweise aber nicht immer. Telekom sagt sie können nix tun. Leitung ist vermietet an uns und wir müssen uns kümmern...

Wenn ihr per DDOS mehr Traffik bekommt als die Leitung hergibt, dann müsst ihr da filtern, wo die Leitung nicht überlastet ist. Ein Filtern auf eurer Seite macht keinen Sinn. Wenn der Angreifer euch z.B. 40Mbit schickt und die Leitung nur 20MBit kann, dann übergibt eurer Provider euch zufällige 50%. 50% der Daten sind verloren, mit den restlichen 50% die bei euch ankommen, könnt ihr dann auch nichts sinnvolles mehr machen, weil immer wieder zu viele Pakete verloren gehen.

Zitat von writetome

Der Angriff kommt von vielen verschiedenen IPs per Tcp.

Das ist noch viel zu ungenau!

Ich verstehe nicht, wieso die Auslastung so weit steigt, bis das System nicht mehr reagiert. Loggt ihr da großartig jedes Paket mit, habt ihr 2,99€-NICS (aka Realtek) im Einsatz oder was passiert da?

Weißt du inzwischen wie der Angriff genau abläuft? Sprich mal mit ngrep, tcpdump oder Wireshark nachgeschaut? Manchmal kann man ganz einfach Regeln bauen und so was blocken.

Zitat

Nur nach kurzer Zeit reagiert der Linux leider dann auch nicht mehr.

Was meinst du damit?

Als einfache Firewall würde schon ein Pentium (die Dinger von 1993!) reichen. Wenn du mehr willst wie z.B. IDS, dann sollten du in irgendwas ab Richtung Pentium3 oder höher greifen.

Zitat

Linux Server installiert

Was soll das sein?

Ihr habt gleich zu was Richtigem wie z.B. ipfire oder z.B. Astaro gegriffen?

edit/update: Ist die Leitung ausgelastet? Wenn ja, dann kann nur noch euer Provider helfen.

Zitat von fnkr

Ich will aber halt auch nicht dass das missbraucht wird und mir am Ende schadet.

Weswegen man keine unbekannten DNS-Server benutzen sollte. Wer weiß, wo mich der Betreiber des DNS-Server überall hin umleitet.

Du weißt nicht, wie du den DNS-Server nicht nicht-öffentlich machen kannst?

fnkr, ist das dein Konzept für ein stabiles System?

777 ist wie kleine Enten in einen Teich schubsen....

Ansonsten: Reicht nicht 1 User aus? Wenn nicht, es gibt nicht nur Benutzerrechte sondern auch Gruppenrechte unter Linux: 3.12 Gruppen und Zugriffsrechte

Zitat von xeon

Funktioniert super. Nur im IE 7 nicht.

Aus reiner Neugier gefragt: Um welche Windows-Version ähm Zielgruppe geht es denn hier? Der IE7 dürfte in-the-wild gar nicht mehr vorkommen [0], hat aber in aktuellen Statistiken [1] global noch knapp 2% Marktanteil und in Deutschland unter 1%.

0 = Internet Explorer - Wikipedia, the free encyclopedia
1 = StatCounter Global Stats - Browser, OS, Search Engine including Mobile Market Share

Habe mein letztes Posting nochmal korrigiert, das war doppeldeutig geschrieben, siehe der Zusatz in den eckigen Klammern.

Samba ist die schlechteste aller Lösungen. Direkt danach kommt ftp. WebDAV über SSL wäre eine elegante Lösung, da sollte aber der Admin vom Server Wissen, was er macht.

Wieviel wollt ihr an Daten tauschen? Es gibt da ja noch Lösungen wie z.B. VPNs oder z.B. Hamachi – Wikipedia .

Also wenn es per Filezilla funktioniert, dann klappt das im Windows-Explorer genau so. Im Zweifelsfall guckt der Admin vom Server mal in die Log-Files

Im ersten Posting hast du aber mit keiner Silbe ftp erwähnt. Das [was du im ersten Posting beschrieben hast] würde dann, wie sim erwähnt, über samba laufen. Das ist zwar nicht unverschlüsselt, aber über längere Leitungen möchte das niemand benutzen.