Also so langsam gehen mir die Kiddys auf n Keks :mad:
Nicht das sie einen gefaehrlich werden koennten, aber es nervt.

Gibt es den nicht irgendeine Moeglichkeit, z.B. ein User test anlegen und wenn dann dieser Script Kiddy ankommt und test:test probiert, in so eine Art Schlamloch haengen bleibt ?

Bin ehrlich gesagt zu faul zu suchen, wuerde ja auch den Aufwand nicht lohnen, aber koennte ja sein das jemand hier ne Idee hat ;)

tomes

Ein Bekannter von mir hat als die BruteForce Attacken immer schlimmer geworden sind ein Script geschrieben, dass bei einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche von der selben IP diese IP einfach "aus dem Netz bombt".

Das Script ist auf nem dedicated gelaufen und somit war es kein Problem DSL-User mit Traffic zu überlasten.

Vielleicht wäre so etwas geeignet für Dich?

Problematisch ist natürlich das sich das ganze aufschaukeln kann und der Attacker dir die Kiste ganz abschießt - deswegen wäre ich bei Produktivsystemen vorsichtig mit solchen offensiven bis agressiven Methoden...

mfg
cane

Gibt es den nicht irgendeine Moeglichkeit, z.B. ein User test anlegen und wenn dann dieser Script Kiddy ankommt und test:test probiert, in so eine Art Schlamloch haengen bleibt ?


gib ihm einfach eine nette loginshell:

#!/bin/sh
declare -i C=1
while [ $C -le 10 ]; do
echo -ne '.'
sleep $C
C=$C+1
done
echo "load too high, login failed, try again later"
exit 1


-j

Das Script ist auf nem dedicated gelaufen und somit war es kein Problem DSL-User mit Traffic zu überlasten.

Vielleicht wäre so etwas geeignet für Dich?
Du weißt schon, dass das illegal ist und einen Kündigungsgrund für den Provider darstellt?

@Tomes: Das ganze ist ein dummes Skript. Wenn du den Port, auf dem SSHd lauscht einfach auf 2222 oder einen anderen Port != 22 setzt, ist Ruhe.

@Jasper

Nette Idee, an soetwas hatte ich auch schon gedacht, aber wie es ausschaut, macht das BruteForceScript nur ein Test ob der Login O.K. ist oder nicht.
Wenn ja wird die Verbindung auch gleich wieder gekappt. Allerdings ist mein C auch nicht so besonders gut :(

@cane
Ja :D :D :D
das war auch mein erster Gedanke, aber warum sollte ich den auch noch bei mir unnoetige Traffic verursachen.
Wegen der Kiste abschiessen, sollte nicht das *prob* sein, ich haette eine Dual-Xeon (Ersatz-Server im "Leerlauf") zur Verfuegung.
Auf den laufen nur alle dummen Wuermer auf ( mail.xxx.xxx ) :D

@Roger Wilco
Ich habe aber keine Lust auf 25 Servern jetzt den Deamon auf einen anderen Port zu setzen.
:D

tomes

Wie wäre es mit einem Script das nach X falschen Login versuchen die IP einfach zur /etc/hosts.deny added ... ?! Oder noch besser ne FW Regel erstellt? Nach xx Stunden die FW Regeln wieder flushen, fertig ...

Wie wäre es mit einem Script das nach X falschen Login versuchen die IP einfach zur /etc/hosts.deny added ... ?!

Keine so gute Idee, weil man Adressen spoofen kann. So kann der Angreifer das Zielsystem direkt und einfach lahm legen.