pointhi
Erfahrenes Mitglied
Hy, ich hab einen kleinen V-Server im internett, nur 256MB-Ram, die dienste stürzen eh oft genug wegen ram-mangel ab 
, ist aber nichts wichtiges.
Wie erwartet bei servern ist er opfer einer einfachen brute-force attacke mit standardpasswörtern, etc. geworden. Chance haben sie bei mir mit diesem Vorgehen natürlich 0, da es nur einen erlaubten benutzer gibt (nicht root, bin kein anfänger), und so ziemlich alles deaktiviert ist was ich nicht benötige. Eigentlich wollte ich mit fail2ban mich gegen solche aktionen schützen, leider funktioniert er auf dem server aber nicht da iptables nicht funktioniert. Jetzt schau ich hin und wieder rauf und sehe die langen auth-logs mit den hack-versuchen. Sind nervig, aber es sind keine die es unbedingt auf den server abgesehen haben.
Fast immer die gleiche ip, und die versuche finden ca. im 30-Minuten zyklus mit ein paar Versuchen statt. Ich würde gerne aber das ganze zumindestens teilweise eindämmen, und villeicht auch die leute zumindestens von wo sie kommen orten. Die IPs kommen teilweise von servern, die ich jetzt aber noch nicht veröffentliche.
Meine frage jetzt:, kann ich eine login-sperre für eine ip (maximal 1. Versuch alle 3 sekunden, nach 6 versuchen ip für 1/2 stunde sperren reintun (ohne iptable) ), und wie könnte ich schauen ob der server sicher noch nicht komprimiert ist. Auch wenn ausgehende Verbindungen dank des externen Firewalls sehr beschränkt sind. (nur zur sicherheit). Warscheinlich wird der server in ein paar monaten neu aufgesetzt, auf einer virtualisierung die iptables unterstützt, und von anfang an gleich funktioniert.
mfg. pointhi
EDIT:
hab gerade die IPs gecheckt. Alle bis auf 2 exestieren noch und sind server. Auf allen ist ein http-server installiert, aber nur 2 haben inhalte oben. Ein server hat die website eines südkoreanischen krankenhauses, die andere ist eine loginseite mit möglicherweise koreanischer schrift.
, ist aber nichts wichtiges.Wie erwartet bei servern ist er opfer einer einfachen brute-force attacke mit standardpasswörtern, etc. geworden. Chance haben sie bei mir mit diesem Vorgehen natürlich 0, da es nur einen erlaubten benutzer gibt (nicht root, bin kein anfänger), und so ziemlich alles deaktiviert ist was ich nicht benötige. Eigentlich wollte ich mit fail2ban mich gegen solche aktionen schützen, leider funktioniert er auf dem server aber nicht da iptables nicht funktioniert. Jetzt schau ich hin und wieder rauf und sehe die langen auth-logs mit den hack-versuchen. Sind nervig, aber es sind keine die es unbedingt auf den server abgesehen haben.
Fast immer die gleiche ip, und die versuche finden ca. im 30-Minuten zyklus mit ein paar Versuchen statt. Ich würde gerne aber das ganze zumindestens teilweise eindämmen, und villeicht auch die leute zumindestens von wo sie kommen orten. Die IPs kommen teilweise von servern, die ich jetzt aber noch nicht veröffentliche.
Meine frage jetzt:, kann ich eine login-sperre für eine ip (maximal 1. Versuch alle 3 sekunden, nach 6 versuchen ip für 1/2 stunde sperren reintun (ohne iptable) ), und wie könnte ich schauen ob der server sicher noch nicht komprimiert ist. Auch wenn ausgehende Verbindungen dank des externen Firewalls sehr beschränkt sind. (nur zur sicherheit). Warscheinlich wird der server in ein paar monaten neu aufgesetzt, auf einer virtualisierung die iptables unterstützt, und von anfang an gleich funktioniert.
mfg. pointhi
EDIT:
hab gerade die IPs gecheckt. Alle bis auf 2 exestieren noch und sind server. Auf allen ist ein http-server installiert, aber nur 2 haben inhalte oben. Ein server hat die website eines südkoreanischen krankenhauses, die andere ist eine loginseite mit möglicherweise koreanischer schrift.
Zuletzt bearbeitet:
