• Advertisement

Honeypot-Blockliste

Alle Fragen, die rund um Fail2Ban (Konfiguration, Fehler, Filter...) sind.

Honeypot-Blockliste

Postby altoma GmbH » 28. Nov 2017, 15:43

Hallo Blocklister!

Ich nutze fail2ban schon seit längerem, und hatte mich auch mal vor einiger Zeit hier angemeldet da ich so ein Projekt gerne unterstütze! (Leider scheint irgendwie bisher noch nicht so viel an Reports von mir angekommen zu sein - das liegt aber an einem Fehler meinerseits ;) das kriegen wir noch zum laufen, kein Problem ).

Jetzt die eigentliche Frage, ich habe vor kurzem einen Anstieg an Hackversuchen festgestellt auf eine Webseite die "vermeintlich" mit Joomla 1.8 erstellt wurde - also eine Art "Honeypot" wenn man so will ;) Ich habe dann einen separaten fail2ban-Jail erstellt, die jede Adresse bei Versuch auf diese Joomla-Internen URL zuzugreifen sofort beim ersten Versuch bannt (kein legitimer User KANN diese Url erreichen). Auf diese Weise ist schon eine beachtliche Liste von inzwischen fast 3000 Adressen zusammengekommen (+100-300 täglich steigend). Ich habe die Stichprobenartig durchgeschaut, die sind wirklich zweifelsfrei (alle haben dieses eine Joomla-Modul angegriffen) und so wie es aussieht auch keine Dialup-Adressen also irgendwelche Windowsrechner o.ä., sondern tatsächlich alles gehackte Rootserver, Cloudserver und Router die als offene Proxies missbraucht werden (einige der IP tauchen auf "Free Proxy" listen auf, usw).

Frage: Könnt ihr mit so einer Liste etwas anfangen? Ich habe zu allen auch die Fail2ban reports und die Logauszüge.
Viele Grüße,

Alex Vogt (Webmaster Altoma GmbH)
altoma GmbH
 
Posts: 1
Joined: 22. Nov 2013, 02:40

Return to Allgemeines zu blocklist und Fail2Ban

Who is online

Users browsing this forum: No registered users and 5 guests

  • Advertisement
cron
figurative