rk_journal

Wer seine Logs regelmäßig ansieht, dürfte in der Regel feststellen, dass er größeren oder kleineren Brute-Force-Attacken ausgesetzt ist.

Um solchen “Wörterbuch”-Attacken zu begegnen, gibt es unter Linux ein kleines Tool: fail2ban. Die Paketbeschreibung unter Debian sagt:

fail2ban - bans IPs that cause multiple authentication errors

Das Tool überwacht verschiedene Log-Dateien auf Login-Fehlversuche und sperrt die fremden IP-Adressen via iptables aus. Welche Logs ausgewertet werden und wie lange die Sperre andauern soll, bis die IP wieder freigegeben wird, lässt sich recht einfach konfigurieren.

Eine gute, knappe Anleitung zum Einrichten gibt es bei howtoforge.

Schon seit längerem sind in den (Apache-)Logs meines neuen Servers einige seltsame Zeilen zu finden, denen ich dann zuweilen mal nachgehe. Folgendes Rätsel ist gelöst (Ursprungs-IP wurde unkenntlich gemacht):

xxx.xxx.xxx.xxx - - [30/Sep/2007:12:48:33 +0200] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 395 “-” “-”

Diese Zeilen sind der Fingerprint von DFind, einem vulnerability Scanner, der den Server auf Schwachstellen durchsucht. Bei Symantec kennt man das Tool als “Hacktool.DFind” - dort ist auch eine Liste von Schwachstellen, auf die das Programm mögliche Opfer testet.

In letzter Zeit häufen sich Angriffsversuche von IP’s, die aus Adressbereichen von Hostern kommen - Leute, sichert Eure Server!