Likes: 0
20/08/05 11:08
Ik voreog me af wat jullie doen met de IP's die proberen in te loggen via een brute force prog.
Heeft het zin om de IP's te achterhalen en vervolgens de provider hierover te berichten?
Is he trouwens normaal dat bijna elke dag wel geprobeerd wordt in te loggen op alle servers d.m.v brute force?
20/08/05 11:15
Het is vrij normaal dat er meerdere keren per dag wordt geprobeerd door verschillende personen om in te loggen.
Alle IP's gaan bij voorbaat in de firewall en aan de hand van de serieusheis van de dreiging wordt bekeken of het gemeld wordt.
20/08/05 11:19
ok, brute force dectector slaat automatich de ip's op in de firewall.
Betreft de bedreiging, Ik neem aan dat meer dan 100 pogingen toch wel een redelijke bedreiging is.
Meestal zijn de IP's van een adsl verbinding.
Wij mailen deze logs en ons verhaal dan altijd naar de netwerk eigenaar.
20/08/05 11:22
Vanaf 10 pogingen vind ik het al vervelend...
Maar het zijn zledne echte brute force, meestal zijn het van die password en username lijsten..
John, Susan, etc :|
20/08/05 11:25
ik vindt het een beetje raar dat wij de laaste tijd elke dag bericht krijgen van deze brute force atacks.
we praten hier over 4 tot 5 berichten per dag.
de aantal pogingen varieren van 10 tot 500.
de meeste pogingen komen uit china, US en rusland
Wij sturen al deze logs naar de provider, maar meestal krijgen we hier niet eens antwoord op.
Laatst gewijzigd door snaaps; 20/08/05 om 11:28.
20/08/05 12:12
Bij ons gaat het na 10 mislukte pogingen in de firewall, die we s'nachts weer flushen (omdat het soms klanten zijn die helaas ook het wachtwoord tig keer fout intikken).
IP's die vaak terug komen gaan standaard in de firewall.
Skynet ICT B.V. - The cause of the problem is: the printer thinks its a router.
20/08/05 12:17
Ik kreeg vroeger elke week wel een stuk of 6/10 bruteforce aanvallen, maar sinds ik een megaaaa password er op heb gegooid lijkt het of ze kunnen zien hoe lang het is, en krijg ik eigenlijk zelden meer een bruteforce attack, tussen de 1/2x in 1 maand.
Verder bfd stuurd wel altijd een leuk mailtje met daarin het ip en wat hij probeerde te doen, ik contact alleen us, en eu ips. Op de rest krijg ik toch nooit een reactie terug.
Technotop Internet BV - Sinds 2005 gespecialiseerd in cloud en datacentra.
20/08/05 12:20
hmm ik denk niet dat ze kunnen zien hoelang het wachtwoord is.
20/08/05 12:22
mwa toeval? Er raar sinds de dag dat ik alles mooi beveiligd heb krijg ik echt amper nog een bruteforce attack op mijn servers. De laatste was 357 trys op 18 Augustus mwa boeiend denk ik dan..Origineel geplaatst door snaaps
hmm ik denk niet dat ze kunnen zien hoelang het wachtwoord is.
Ik keek net even of er een server op het ip stond, en ja hoor
http://216.74.92.2
Laatst gewijzigd door Technotop; 20/08/05 om 12:24.
Technotop Internet BV - Sinds 2005 gespecialiseerd in cloud en datacentra.
20/08/05 12:30
Ik sta maximaal 1 nieuwe connectie per minuut toe op port 22. Brute force is dan meteen niet interessant meer. Het aantal aanvallen is sindsdien ook afgenomen.
20/08/05 12:32
Op bijna alle IP's die een hack attempt doen draait wel een server, htp, ftp of soms zels netbus enzoOrigineel geplaatst door trebbor
Ik keek net even of er een server op het ip stond, en ja hoor
http://216.74.92.2
20/08/05 14:29
Ik heb ook APF met BFD draaien, maar BFD heeft al 2 weken niks gemeld.
Er zit vast iets verkeerds, iemand die me er verder mee kan helpen ?
20/08/05 14:45
kan jij mij melden hoe je dit insteld?Origineel geplaatst door froggie
Ik sta maximaal 1 nieuwe connectie per minuut toe op port 22. Brute force is dan meteen niet interessant meer. Het aantal aanvallen is sindsdien ook afgenomen.
en ten tweede: ik gebruik DA, is er een mogelijkheid om IP's te blokeren die proberen in te loggen in een van de users account via IP:2222 of ftp?
20/08/05 14:47
controleer je shh logs of gebruik log watch.Origineel geplaatst door Sinan
Ik heb ook APF met BFD draaien, maar BFD heeft al 2 weken niks gemeld.
Er zit vast iets verkeerds, iemand die me er verder mee kan helpen ?
Ik zelf gebruik dus log watch (zie topic beveilig DA) en krijg dus elke nacht een keuige log van diverse services.
20/08/05 14:48
Mijn config:
INSPATH="/usr/local/bfd"
RPATH="$INSPATH/rules"
TLOGP="$INSPATH/tlog"
LOG="/var/log/bfd_log"
USE_KLOG="1"
KLOG="/var/log/messages"
SLOG="/var/log/auth.log"
ALERT_USR="1"
EMAIL_USR="sinan/\/\/\turka.nl"
SUBJ_USR="Brute Force Warning for $HOSTNAME"
ALERTF="$INSPATH/alert.bfd"
PATTERN_FILE="$INSPATH/pattern.auth"
BCMD="/etc/apf/apf -d $ATT_HOST {bfd.$MOD}"
BCMD_FILE="/etc/apf/deny_hosts.rules"
PRECHK_FILES="$INSPATH/exclude.files"
TMZ=`date +"%z"`
UTIME=`date +"%s"`
LOCK="$INSPATH/lock.utime"
LOCK_TIMEOUT="620"
