![[GREGEL DOT COM]](http://static.gregel.com/themes/mg/images/header1.jpg)
lädt ...Kiddies haben wieder ein Bot-Netz unter ihre Kontrolle gebracht und nerven.
Bei Heise lese ich gerade, dass InternetX gerade mit eine Attacke auf seine Nameserver zu kämpfen hat.
Ich selbst kämpfe gerade gegen eine Bruteforce-Attacke via SSH. Nicht weiter schlimm, aber nervig. Normalerweise blocke ich eine IP nach zwei falschen Versuchen einfach weg, aber da momentan pro Minute 250 Verbindungen von ca. 100 verschiedenen IPs eingehen, hat mein Blacklist-Script, sshblack, den Dienst quittiert:
Possible DOS attack. Sleeping.
Muss ich bzw. mein Server wichtig sein ;-)
Habe den Hahn jetzt zweifach zugedreht – SSHD lauscht auf einem anderen Port und iptables hat Port 22 geschlossen -> Ruh’ is’
Hallo Marc,
Die ganze Situation hast du ja schön beschrieben.
Ich denke, solch ein Angriff von über 100 Clients hat nur Sinn, wenn auch verteilte Wordlists (Clustering Prinzip?) eingesetzt werden.
Kann mir das dann sehr wirkungsvoll vorstellen :D
Aber, vermutlich bist du eh auf Keyfiles eingestellt.
Es bleibt nur noch anzumerken, das FWknop (Firewall Knock Operator) einen guten Dienst leistet.
Sprich, die Firewall lauscht ganz gemütlich, nebenher hört noch FWKnop mit.
ACK bzw. Verbindung auf den SSH Port wird einfach fallen gelassen.
Außer, falls du ein spezielles, vorher natürlich individuell konfiguriertes Paket sendest.
Dann wird für die Sender IP der Port (z.b. 22) geöffnet.
Zu finden unter:
http://cipherdyne.org/fwknop/
Bye,
Hora