fail2ban auch schnell genug gegen Botnetze?

Alle Fragen, die rund um Fail2Ban (Konfiguration, Fehler, Filter...) sind.
Antworten
Benutzeravatar
oliverdeisenroth
Beiträge: 7
Registriert: 12. Okt 2013, 00:30
Wohnort: Schwalmstadt
Kontaktdaten:

fail2ban auch schnell genug gegen Botnetze?

Beitrag von oliverdeisenroth » 17. Okt 2013, 14:17

Hallo,
ich bin Admin eines vServers, der auch an blocklist.de reportet..

Ich habe ein paar Bedenken und Sorgen...

Und zwar stelle ich mir gerade die Frage, ob fail2ban

auch schnell genug bei einem Angriff eines Botnetzes agieren würde? :?:

Habe öfters in diversen Sicherheitsforen gelesen, dass da fail2ban schnell an seine
Grenzen stoßen würde.

Viele Admins schwören dabei auf ihre Server-Leistung:

Mein vServer gibt mir unter /proc/cpuinfo folgendes aus (64-Bit System):

Code: Alles auswählen

model name         : Quad-Core AMD Opteron(tm) Processor 2352
stepping              : 3
cpu MHz              : 262.500
cache size           : 512 KB
bogomips            : 4219.37
TLB size              : 1024 4K pages
clflush size          : 64
cache_alignment : 64
address sizes      : 48 bits physical, 48 bits virtual
Wäre es empfehlenswert,
noch weitere iptables-Regeln,
zum Beispiel gegen diverse Flood-Attacken, wie sie bei Botnetzen üblich sind,

zusätzlich zu fail2ban anzulegen?

Habt ihr selbst weitere Regeln zusätzlich zu fail2ban im Einsatz?

Wenn ja, welche? Würde mich sehr interessieren! ;)

Betreibe einen Privatblog, bin vielleicht nicht umbedingt das Ziel so eines Botnetzes,
aber Vorsorge ist wohl nie verkehrt...

PS: Ich finde blocklist.de eine super Sache, habe euch weiterempfohlen und verlinkt!

LG Oliver
...when apt is outdated, it is sometimes better to change the running system...!

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: fail2ban auch schnell genug gegen Botnetze?

Beitrag von Martin » 17. Okt 2013, 14:51

Hallo Oliver,

nun ja..... Also Fail2Ban kann je nach Konfiguration ungefähr 1 IP pro Sekunde sperren.
Man kann die Start-Stop-Skripte aber modifizieren und je nach Version und System mit z.B.:

Code: Alles auswählen

/usr/bin/fail2ban-client -c /etc/fail2ban -s /var/run/fail2ban/fail2ban1.sock -x start > /dev/null
sleep 1
/usr/bin/fail2ban-client -c /etc/fail2ban -s /var/run/fail2ban/fail2ban2.sock -x start > /dev/null 
usw. mehrere Instanzen starten. Diese können dann gleichzeitig die Logfiles prüfen. Sie können sich dabei allerdings in die Quere kommen und so z.b. alle 2 Instanzen, die gleiche IP bearbeiten....
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Benutzeravatar
oliverdeisenroth
Beiträge: 7
Registriert: 12. Okt 2013, 00:30
Wohnort: Schwalmstadt
Kontaktdaten:

Re: fail2ban auch schnell genug gegen Botnetze?

Beitrag von oliverdeisenroth » 17. Okt 2013, 15:59

Danke Martin,

ich ergänze:

Also den Apache-Webserver schütze ich ja schon zusätzlich gegen DDoS mittels mod-evasive (dieses Howto)...

Testscript: Funktioniert! =)

Und DDoS wird dann zusätzlich auch noch mit fail2ban abgegriffen (das darauffolgende Howto)...

Jetzt war ich mal im Serversupportforum unterwegs... schönes Script gefunden.

Das Script am Ende dieses Topics habe ich getestet, letztendlich sind dann noch diese Zeilen für mich übrig geblieben, das sollte dann wohl erstmal reichen ;)

Code: Alles auswählen

#!/bin/sh

#1 SYN-Flood begrenzen:
/sbin/iptables -A INPUT -p tcp --syn -m limit --limit 2/s --limit-burst 30 -j ACCEPT

#2 Ping-Flood begrenzen:
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#3 Portscanner ausschalten:
/sbin/iptables -A INPUT -p tcp --tcp-flags ALL NONE -m limit --limit 1/h -j ACCEPT
/sbin/iptables -A INPUT -p tcp --tcp-flags ALL ALL -m limit --limit 1/h -j ACCEPT

#5 ungewoehnliche Flags verwerfen
/sbin/iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
/sbin/iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
/sbin/iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
/sbin/iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
/sbin/iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
/sbin/iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
...when apt is outdated, it is sometimes better to change the running system...!

Benutzeravatar
oliverdeisenroth
Beiträge: 7
Registriert: 12. Okt 2013, 00:30
Wohnort: Schwalmstadt
Kontaktdaten:

Re: fail2ban auch schnell genug gegen Botnetze?

Beitrag von oliverdeisenroth » 20. Okt 2013, 15:42

Etwas Neues herausgefunden und daraus ein Script erarbeitet...

Funktioniert zusammen mit fail2ban.

Man kann iptables aber auch noch viel bissiger machen - dazu einfach die Standard-Regel auf DROP setzen und die einzelnen Dienste manuell erlauben...

Ich teile mal mein Script, funktioniert sehr gut - wenn man einen neuen Dienst installiert muss man bei "outgoing" und "incoming" eben jeweils eine zusätzliche Regel definieren: ;) ;) ;)

Code: Alles auswählen

#!/bin/bash

IPTABLES="/sbin/iptables"
FAIL2BAN="/etc/init.d/fail2ban"

# Logging options.
#------------------------------------------------------------------------------
LOG="LOG --log-level debug --log-tcp-sequence --log-tcp-options"
LOG="$LOG --log-ip-options"

# Defaults for rate limiting
#------------------------------------------------------------------------------
RLIMIT="-m limit --limit 3/s --limit-burst 30"

# Default policies.
#------------------------------------------------------------------------------
 
# Drop everything by default.
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
 
# Set the nat/mangle/raw tables' chains to ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
 
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P INPUT ACCEPT
$IPTABLES -t mangle -P FORWARD ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
$IPTABLES -t mangle -P POSTROUTING ACCEPT
 
# Cleanup.
#------------------------------------------------------------------------------
 
# Delete all
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
 
# Delete all
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
 
# Zero all packets and counters.
$IPTABLES -Z
$IPTABLES -t nat -Z
$IPTABLES -t mangle -Z


# Custom user-defined chains.
#------------------------------------------------------------------------------
 
# LOG packets, then ACCEPT.
$IPTABLES -N ACCEPTLOG
$IPTABLES -A ACCEPTLOG -j $LOG $RLIMIT --log-prefix "ACCEPT "
$IPTABLES -A ACCEPTLOG -j ACCEPT
 
# LOG packets, then DROP.
$IPTABLES -N DROPLOG
$IPTABLES -A DROPLOG -j $LOG $RLIMIT --log-prefix "DROP "
$IPTABLES -A DROPLOG -j DROP
 
# LOG packets, then REJECT.
# TCP packets are rejected with a TCP reset.
$IPTABLES -N REJECTLOG
$IPTABLES -A REJECTLOG -j $LOG $RLIMIT --log-prefix "REJECT "
$IPTABLES -A REJECTLOG -p tcp -j REJECT --reject-with tcp-reset
$IPTABLES -A REJECTLOG -j REJECT
 
# Only allows RELATED ICMP types
# (destination-unreachable, time-exceeded, and parameter-problem).
# TODO: Rate-limit this traffic?
# TODO: Allow fragmentation-needed?
# TODO: Test.
$IPTABLES -N RELATED_ICMP
$IPTABLES -A RELATED_ICMP -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPTABLES -A RELATED_ICMP -p icmp --icmp-type time-exceeded -j ACCEPT
$IPTABLES -A RELATED_ICMP -p icmp --icmp-type parameter-problem -j ACCEPT
$IPTABLES -A RELATED_ICMP -j DROPLOG
 
# Make It Even Harder To Multi-PING
$IPTABLES  -A INPUT -p icmp -m limit --limit 1/s --limit-burst 2 -j ACCEPT
$IPTABLES  -A INPUT -p icmp -m limit --limit 1/s --limit-burst 2 -j LOG --log-prefix PING-DROP:
$IPTABLES  -A INPUT -p icmp -j DROP
$IPTABLES  -A OUTPUT -p icmp -j ACCEPT
 
# Only allow the minimally required/recommended parts of ICMP. Block the rest.
#------------------------------------------------------------------------------

# First, drop all fragmented ICMP packets (almost always malicious).
$IPTABLES -A INPUT -p icmp --fragment -j DROPLOG
$IPTABLES -A OUTPUT -p icmp --fragment -j DROPLOG
$IPTABLES -A FORWARD -p icmp --fragment -j DROPLOG
 
# Allow all ESTABLISHED ICMP traffic.
$IPTABLES -A INPUT -p icmp -m state --state ESTABLISHED -j ACCEPT $RLIMIT
$IPTABLES -A OUTPUT -p icmp -m state --state ESTABLISHED -j ACCEPT $RLIMIT
 
# Allow some parts of the RELATED ICMP traffic, block the rest.
$IPTABLES -A INPUT -p icmp -m state --state RELATED -j RELATED_ICMP $RLIMIT
$IPTABLES -A OUTPUT -p icmp -m state --state RELATED -j RELATED_ICMP $RLIMIT
 
# Allow incoming ICMP echo requests (ping), but only rate-limited.
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT $RLIMIT
 
# Allow outgoing ICMP echo requests (ping), but only rate-limited.
$IPTABLES -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT $RLIMIT
 
# Drop any other ICMP traffic.
$IPTABLES -A INPUT -p icmp -j DROPLOG
$IPTABLES -A OUTPUT -p icmp -j DROPLOG
$IPTABLES -A FORWARD -p icmp -j DROPLOG
 
# Selectively allow certain special types of traffic.
#------------------------------------------------------------------------------
 
# Allow loopback interface to do anything.
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
 
# Allow incoming connections related to existing allowed connections.
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Allow outgoing connections EXCEPT invalid
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Miscellaneous.
#------------------------------------------------------------------------------
 
# We don't care about Milkosoft, Drop SMB/CIFS/etc..
$IPTABLES -A INPUT -p tcp -m multiport --dports 135,137,138,139,445,1433,1434 -j DROP
$IPTABLES -A INPUT -p udp -m multiport --dports 135,137,138,139,445,1433,1434 -j DROP
 
# Explicitly drop invalid incoming traffic
$IPTABLES -A INPUT -m state --state INVALID -j DROP
 
# Drop invalid outgoing traffic, too.
$IPTABLES -A OUTPUT -m state --state INVALID -j DROP
 
# If we would use NAT, INVALID packets would pass - BLOCK them anyways
$IPTABLES -A FORWARD -m state --state INVALID -j DROP
 
# Disable PORT Scanners (stealth also)
$IPTABLES -A INPUT -m state --state NEW -p tcp --tcp-flags ALL ALL -j DROP
$IPTABLES -A INPUT -m state --state NEW -p tcp --tcp-flags ALL NONE -j DROP
 
# TODO: Some more anti-spoofing rules? For example:
$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPTABLES -N SYN_FLOOD
$IPTABLES -A INPUT -p tcp --syn -j SYN_FLOOD
$IPTABLES -A SYN_FLOOD -m limit --limit 2/s --limit-burst 6 -j RETURN
$IPTABLES -A SYN_FLOOD -j DROP

# Selectively allow certain outbound connections, block the rest.
#------------------------------------------------------------------------------
 
# Allow outgoing DNS requests. Few things will work without this.
$IPTABLES -A OUTPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
 
# Allow outgoing HTTP requests. Unencrypted, use with care.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
 
# Allow outgoing HTTPS requests.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT

# Allow outgoing Mumble-Server requests.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 64738 -j ACCEPT
$IPTABLES -A OUTPUT -m state --state NEW -p udp --dport 64738 -j ACCEPT

# Allow outgoing SMTP requests.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT

# Allow outgoing SMTPS requests.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 465 -j ACCEPT
 
# Allow outgoing "submission" (RFC 2476) requests.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 587 -j ACCEPT
 
# Allow outgoing POP3S requests.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 995 -j ACCEPT
 
# Allow outgoing SSH requests.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT

# Allow outgoing Webmin requests.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 10000 -j ACCEPT
 
# Allow outgoing FTP requests. Unencrypted, use with care.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT
 
# Allow outgoing NNTP requests. Unencrypted, use with care.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 119 -j ACCEPT
 
# Allow outgoing NTP requests. Unencrypted, use with care.
$IPTABLES -A OUTPUT -m state --state NEW -p udp --dport 123 -j ACCEPT

# Allow outgoing CVS requests. Unencrypted, use with care.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 2401 -j ACCEPT
 
# Allow outgoing MySQL requests. Unencrypted, use with care.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 3306 -j ACCEPT
 
# Allow outgoing SVN requests. Unencrypted, use with care.
# $IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 3690 -j ACCEPT


# Selectively allow certain inbound connections, block the rest.
#------------------------------------------------------------------------------
 
# Allow incoming DNS requests.
$IPTABLES -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
 
# Allow incoming HTTP requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
 
# Allow incoming HTTPS requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT
 
# Allow incoming POP3 requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT
 
# Allow incoming IMAP4 requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT
 
# Allow incoming POP3S requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 995 -j ACCEPT
 
# Allow incoming SMTP requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT
 
# Allow incoming SSH requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
 
# Allow incoming FTP requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT
 
# Allow incoming NNTP requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 119 -j ACCEPT
 
# Allow incoming MySQL requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 3306 -j ACCEPT

# Allow incoming Webmin requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 10000 -j ACCEPT

# Allow incoming Mumble-Server Requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 64738 -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -p udp --dport 64738 -j ACCEPT

# Allow incoming nc requests.
# $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 2030 -j ACCEPT
# $IPTABLES -A INPUT -m state --state NEW -p udp --dport 2030 -j ACCEPT
 
# Explicitly log and reject everything else.
#------------------------------------------------------------------------------
# Use REJECT instead of REJECTLOG if you don't need/want logging.
$IPTABLES -A INPUT -j REJECT
$IPTABLES -A OUTPUT -j REJECT
$IPTABLES -A FORWARD -j REJECT

$FAIL2BAN restart

# Exit gracefully.
#------------------------------------------------------------------------------
 
    exit 0

...when apt is outdated, it is sometimes better to change the running system...!

Benutzeravatar
oliverdeisenroth
Beiträge: 7
Registriert: 12. Okt 2013, 00:30
Wohnort: Schwalmstadt
Kontaktdaten:

Re: fail2ban auch schnell genug gegen Botnetze?

Beitrag von oliverdeisenroth » 22. Okt 2013, 12:40

Hey,

ich habe mal eine kleine Grafik zu fail2ban und blocklist gemacht,
vielleicht gefällt sie euch ja ;)

Bild
...when apt is outdated, it is sometimes better to change the running system...!

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: fail2ban auch schnell genug gegen Botnetze?

Beitrag von Martin » 30. Okt 2013, 08:52

Hi,

nette Grafik!

Wenn man das Skript mit Fail2Ban und blocklist.de nutzt, ist es nur wichtig, das Logs vorhanden sind, ansonsten können wir die Angriffe nicht reporten.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Benutzeravatar
oliverdeisenroth
Beiträge: 7
Registriert: 12. Okt 2013, 00:30
Wohnort: Schwalmstadt
Kontaktdaten:

Re: fail2ban auch schnell genug gegen Botnetze?

Beitrag von oliverdeisenroth » 30. Okt 2013, 18:11

Martin hat geschrieben: Wenn man das Skript mit Fail2Ban und blocklist.de nutzt, ist es nur wichtig, das Logs vorhanden sind, ansonsten können wir die Angriffe nicht reporten.
Hallo Martin,
danke für deine Antwort,

also bei mir sieht das in jeder E-Mail so aus (die auch an euch, blocklist, weitergeleitet wird), der Log ist angehängt, die jail.conf ist nämlich für mehrere Dienste eingerichtet (Apache, Apache-Overflows, FTP, SSH, SSH-DDos, Webmin):

Code: Alles auswählen

Hi,

The IP 61.175.212.62 has just been banned by Fail2Ban after
4 attempts against ssh.


Here are more information about 61.175.212.62:

% [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

% Information related to '61.175.212.60 - 61.175.212.63'

inetnum:        61.175.212.60 - 61.175.212.63
netname:        CANGNAN-LABOR-BUREAU
country:        CN
descr:          Cangnan Labor Bureau
descr:          NULL
admin-c:        CY144-AP
tech-c:         CW27-AP
status:         ASSIGNED NON-PORTABLE
changed:        auto-dbm@dcb.hz.zj.cn 20040610
mnt-by:         MAINT-CN-CHINANET-ZJ-WZ
source:         APNIC

role:           CHINANET-ZJ Wenzhou
address:        No.2-1 Huancheng Road(East),Wenzhou,Zhejiang.325000
country:        CN
phone:          +86-577-88818629
fax-no:         +86-577-88818635
e-mail:         anti_spam@wz.zj.cn
remarks:        send spam reports to anti_spam@wz.zj.cn
remarks:        and abuse reports to anti_spam@wz.zj.cn
remarks:        Please include detailed information and times in UTC
admin-c:        CH117-AP
tech-c:         CH117-AP
nic-hdl:        CW27-AP
mnt-by:         MAINT-CHINANET-ZJ
changed:        master@dcb.hz.zj.cn 20031204
source:         APNIC
changed:        hm-changed@apnic.net 20111114

person:         CHENGMEI YU
nic-hdl:        CY144-AP
e-mail:         anti_spam@wz.zj.cn
address:        #186 Jiangxi Road Longgang Wenzhou ZHEJIANG PROVINCE,325000,
phone:          +86-577-4295658
country:        CN
changed:        auto-dbm@dcb.hz.zj.cn 20050826
mnt-by:         MAINT-CN-CHINANET-ZJ-WZ
source:         APNIC

% This query was served by the APNIC Whois Service version 1.68.5 (WHOIS3)


Lines containing IP:61.175.212.62 in /var/log/auth.log

Oct 23 14:49:01 s15263991 sshd[10892]: Did not receive identification string from 61.175.212.62
Oct 23 14:53:50 s15263991 sshd[11109]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.175.212.62  user=root
Oct 23 14:53:52 s15263991 sshd[11109]: Failed password for root from 61.175.212.62 port 12393 ssh2
Oct 23 14:59:55 s15263991 sshd[11439]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.175.212.62  user=root
Oct 23 14:59:58 s15263991 sshd[11439]: Failed password for root from 61.175.212.62 port 14108 ssh2
Oct 23 15:01:25 s15263991 sshd[11976]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= 
Oct 30 17:30:13 s15263991 sshd[5407]: refused connect from 61.175.212.62 (61.175.212.62)
Oct 30 17:33:12 s15263991 sshd[5730]: refused connect from 61.175.212.62 (61.175.212.62)
Oct 30 17:36:18 s15263991 sshd[6364]: refused connect from 61.175.212.62 (61.175.212.62)
Hätte da auch gerade mal eine Frage zu dem obigen Angreifer:

Wenn ich diese IP-Adresse im Browser aufrufe komme ich wirklich auf eine "Cangnan Social Security Bureau" Seite, ist das so eine Art Zensur-Zentrale der Chinesen? Durchaus möglich, ja...

Mir fällt nämlich beim Blick in die blocklist-History auf, dass die es fast ausschließlich auf meinen Server abgesehen haben...

In der jail.conf habe ich bei ssh-ddos eine "hostsdeny"-Action eingestellt, wer ddos macht wird bei mir nicht mehr entsperrt, da ich die unban Zeile entfernt habe.
Diese IP hat auch schon SSH-DDoS probiert - dementsprechend erscheint jetzt im Log immer refused connect, da die IP in der hosts.deny eingetragen ist.

Habe den Chinesen auch schon mal höchstpersönlich eine Abuse-Mail wegen dieser IP geschrieben - jedoch nie eine Antwort bekommen... :!: :?: :!:

Deswegen Frage ich mich, Angreifer aus China praktisch ohne Gewissen, ja? Hauptsache die Zensur stimmt...
...when apt is outdated, it is sometimes better to change the running system...!

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: fail2ban auch schnell genug gegen Botnetze?

Beitrag von Martin » 30. Okt 2013, 18:30

Hi,

also es gibt einige, wenige Provider aus Asien/China, welche die Reports erst nehmen, bearbeiten und das Problem lösen.
Die anderen große Provider wie "CHINANET-BACKBONE", "CHINA169-BACKBONE", "China Unicom" (und alle Reseller), "CHINANET*" machen entweder gar nichts oder haben keine existierende Abuse-Adresse eingetragen.
Wir haben die Abuse-Adressen zum Teil anhand der Webseiten schon bei uns aktualisiert, dann werden diese aber oft manuell gesperrt, oder deren Spamfilter stufen die Abuse-Complaints als Spam ein, sind voll oder existieren ebenfalls nicht.
Darum muss man sich auch nicht wundern, warum aus China so viel öffentliche Angriffe kommen, da die Provider nichts gegen die infizierten Rechner tun.....
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Antworten