Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

OS Linux

teveel hack pogingen

None
13 antwoorden
  • hallo

    Mijn pc staat 24/7 aan met als services ssh en ftp

    In ssh is rootlogin op NO gezet
    in FTP staat anonymous uit

    Ik krijg geregeld sys-mails,, zoiets als:
    www.fedora-nieuws.nl/document/hack.html

    ik heb denyhosts en fail2ban al geinstalled

    Hoe kan ik deze pogingen het zwijgen oplegen
    Ik vindt het wel lachwekkend wat er staat, maat wil er nu gewoon vanaf

    ps: het IP verschilt telkens

    Evert
  • ssh op een andere port zetten werkt al erg goed.

    Mogelijk ook alleen ssh allowen op jou eigen ip ?
  • Tja, scans op poort 22 zijn altijd een drama. ikzelf heb hem op een andere poort gezet en daarna geNAT naar 22.
  • Lijkt er zwaar op dat fail2ban niet goed werkt of niet goed configged is. Kijk eens in de log van fail2ban!

    Vreemd dat je portsentry plat gaat. Of deed je dat zelf?
  • Waarom zou je dit soort programma's installeren, als je goede wachtwoorden gebruikt of liever nog rsa/dsa keys dan is er niets aan de hand.

    Gewoon je systeem keep it simple houden, en niet allerlei portscandetectors, portblockers en andere shit installeren.
  • Die discussie hebben we vaker gehad. Alleen al om de logs schoon te houden en opdringerige figuren wat extra te weren is fail2ban prima.

    Ik denk dat fail2ban niet correct werkt….
  • Wat Arvid zegt, daarnaast iets als:

    [code:1:aee76405de]
    /usr/sbin/iptables -A INPUT -p tcp –dport 22 –dst $EXTERNE_IP -i eth0 -m state –state NEW -m recent –set
    /usr/sbin/iptables -A INPUT -p tcp –dport 22 –dst $EXTERNE_IP -i eth0 -m state –state NEW -m recent –update –seconds 120 –hitcount 4 -j DROP
    /usr/sbin/iptables -A INPUT -p tcp –dport 22 –dst $EXTERNE_IP -i eth0 -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT
    [/code:1:aee76405de]

    Vier pogingen in twee minuten lijkt me ruim voldoende :).
  • Toch vind ik fail2ban prettig. Regelt het gelijk ook voor apache en als je wilt andere inlog-methodes.

    Je fail2ban-log moet er zo uitzien: http://sourceforge.net/project/screenshots.php?group_id=121032
  • Even wat leuke statistieken want het is gewoon lachwekkend, lol :D

    Totaal:

    [code:1:7d9a8dcabf]
    root@thor:~# cat /var/log/messages | wc -l
    10901
    root@thor:~#
    [/code:1:7d9a8dcabf]

    Totaal Failed password:

    [code:1:7d9a8dcabf]
    root@thor:~# grep "Failed password" /var/log/messages | wc -l
    5300
    root@thor:~#
    [/code:1:7d9a8dcabf]

    Totaal Invalid user:

    [code:1:7d9a8dcabf]
    root@thor:~# grep "Invalid user" /var/log/messages | wc -l
    5135
    root@thor:~#
    [/code:1:7d9a8dcabf]

    Dit is een volhoudertje ;)

    [code:1:7d9a8dcabf]
    root@thor:~# grep "65.19.155.219" /var/log/messages | wc -l
    2768
    root@thor:~#
    [/code:1:7d9a8dcabf]

    Maar deze kan er helemaal wat van ;)

    [code:1:7d9a8dcabf]
    root@thor:~# grep "213.223.116.132" /var/log/messages | wc -l
    7570
    root@thor:~#
    [/code:1:7d9a8dcabf]

    De size van /var/log/messages (met dank aan logrotate ;-) )

    [code:1:7d9a8dcabf]
    root@thor:~# du -h /var/log/messages
    956K /var/log/messages
    root@thor:~#
    [/code:1:7d9a8dcabf]
  • [quote:64c4bd27e7="MrLeeJohn"]Lijkt er zwaar op dat fail2ban niet goed werkt of niet goed configged is. Kijk eens in de log van fail2ban!

    Vreemd dat je portsentry plat gaat. Of deed je dat zelf?[/quote:64c4bd27e7]

    ik heb portsentry niet plat gegooid, ben er eerlijk gezegd verbaasd over dat het gebeurt.

    Ik heb inmiddels fail2ban iets aangepast
  • Alles weer onder controle? Wat was er mis?
  • volgens mij de config van fail2ban

    heb bij de config de poorten van ftp en ssh ingevulld ipv alleen de naam port.

    Hopelijk werkt het nu goed.

    hoe ziet jouw config eruit Leon??
  • Ik heb um default gelaten.

    Nog iets over portsentry gevonden? Hij mag alleen op poorten draaien waar geen services op luisteren he…

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.