Hallo Jungs,
vor allem aus China erfolgen auf meinen Ubuntu-Server seit mindestens 2 Tagen unerwünschte Zugriffsversuche! Gearbeitet wird offenbar mit Passwort- und Nutzerlisten um per SSH Zugriff zu erlangen.
Laut Logs war bisher kein Loginversuch erfolgreich, aber falls doch, können die ja manipuliert werden.
Was ich möchte ist, dass ab sofort die Zugriffsversuche je IP auf 2 beschränkt werden und dann der Zugriff erst nach einer bestimmten Zeit wieder versucht werden kann.
Konkret geht es mir hierbei um:
SSH-Logins
Apache2-Logins
Postfix/smtpd-Logins
...und wenn möglich, auch wenn sie nicht angegriffen werden, um:
ProFTP-Logins
Als System läuft Ubuntu 10.04
Mein Administrator-Passwort ist sehr lang und besteht aus sinnlosen Zeichen, dennoch will ich auf Grund der zu schützenden Daten alles mögliche tun, damit niemand eine Chance hat!
---------
Edit: Das hier habe ich im access.log von apache2 gefunden!
58.218.199.227 - - [10/Jul/2011:04:05:49 +0200] "GET http://www.tripingnow.com/pe.php HTTP/1.1" 401 801 "-" "Mozilla/4.0 (compatible; MSIE 6.0; W$
58.218.199.227 - - [10/Jul/2011:05:26:01 +0200] "GET http://financeande.com/feed/feed.php HTTP/1.1" 401 798 "-" "Mozilla/4.0 (compatible; MSIE 6.$
202.75.211.206 - - [10/Jul/2011:05:45:36 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 401 647 "-" "ZmEu"
202.75.211.206 - - [10/Jul/2011:05:45:37 +0200] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 401 647 "-" "ZmEu"
202.75.211.206 - - [10/Jul/2011:05:45:38 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 401 647 "-" "ZmEu"
alle dieser IPs sind mir unbekannt! Was haben die Meldungen zu bedeuten?
Linux 14.981 Themen, 106.344 Beiträge
Sperre einfach im Firewall die ganze IP range, dan gibts kein Problem mehr. Das hatte ich auch so ein Problem.
Auf jeden fall zu den meldungen:
58.218.199.227(IP, ist klar)
[10/Jul/2011:04:05:49 +0200] (datun/uhrzeit, sollte auch klar sein)
"GET http://www.tripingnow.com/pe.php HTTP/1.1" (ich will die daten von http://www.tripingnow.com/pe.php! Wenn tripingnow.com nicht dein domain ist dan kann es eventuell auf eine fehlconfig von irgend einem DNS server sein, alternativ weis ich auch net weiter)
" "Mozilla/4.0 (compatible; MSIE 6.0; W$ (gibt sich als Mozilla agent kompatibel mit Internet Explorer 6 aus mit Windows NT?)
PS; ganz vergessen, das sind nur stink normale HTTP anfragen an dein server. Ich weiss jetzt nicht wie dick dein log ist, aber falls die anfragen sich noch im normalen modus bewegen dan ist es auf jeden fall kein DDoS
Sende mal die IP adressen durch http://www.dnsbl.info/
Da kannste kontrollieren ob es bekannte spam adressen sind oder ob sonst irgend was nicht mit den stimmt.