Attacken aus China und Lybien

[Valkosh]

Hallo Community,

Seit gestern werden unsere Server mit SSH, Telnet, SQL Attacken und PortScanns malträtiert.
Mittlerweile habe ich 18 IP-Adressen in der Firewall geblockt...nun ist es etwas ruhiger. Kennt jemand eine Website, bei denen man die IPs einreichen oder melden kann?

Gruss Valkosh

 

[Labtec]

Was heißt "unsere" IP's ? Von der Firma?
BTW: dafür ist die Firewall ja da

Was willst du erreichen in dem du die IP's meldest?

 

[Valkosh]

Hey,

"Unsere IPs" habe ich nirgends geschrieben. Nur "Unsere Server" :-)

Keine Ahnung was ich damit erreichen will. Habe nur gedacht dass, wenn man diese melden kann, ich das gerne tun würde.

Es ist nur nervig, wenn man eine Nachtschicht einlegen muss um die Firewall ein bisschen zu beruhigen.

Da macht man einen Lookup auf eine der geblockten IP Adressen und es kommt gleich ein Portscan zurück :-) irgendwie mag ich das nicht.

Cheers

 

[alex_k]

Ich hab da eine Idee, aber die wird Dir nicht gefallen: - Nimm die Rechner alle vom Netz, dass man von von aussen nicht mehr drauf kommt. - Dann hast Du Ruhe. - Soalnge die Server aber von aussen erreichbar sein müssen, wird es das leider immer mehr geben....

Dafür solltest Du ja auch eine Firewall am start haben, die ist ja genau dafür da, dass sie diesen "Besuch" an der "Pforte" abfängt.....

 

[Ex0r]

Tipp: Gleich den ganzen IP-Range bannen.

 

[CPU-Bastler]

Sag uns doch mal die IP-Nummern.

Zur Zeit soll der Syrische Geheimdienst sehr aktiv sein. Genaueres weiss man nicht, denn alles was der macht ist Geheim.

 

[Valkosh]

Server abhängen geht leider nicht. Sind 4 Physiche Server, welche virtualisiert auf einem ESX laufen.
Exchange, Online Support (like TeamViewer) etc.
Das Problem ist, dass die Firewall immer einwenig am Limit läuft, solange die Portscans aktiv sind.
Es ist eine Fortigate 110c..

Wenn ich die ganzen IP Ranges abblocke, werde ich voraussichtlich irgendwann irgendwelche Emails vermissen. Es wären momentan 10 Ranges, welche ich blocken müsste.

 

[eigs]

Kennt jemand eine Website, bei denen man die IPs einreichen oder melden kann?

Nein, aber dazu hat auch jeder Provider eine Abuse E-Mail Adresse.

 

[Tignanello]

Zur Zeit soll der Syrische Geheimdienst sehr aktiv sein. Genaueres weiss man nicht, denn alles was der macht ist Geheim.

der war gut

 

[Ex0r]

Du musst ja auch nicht gleich ganz China (etc...) bannen Meistens verteilen ISPs doch immer in einem kleinen Bereich ihre IPs an Städte oder Orte mit ihren Anschlüssen.

 

[CPU-Bastler]

Danke

 

[Masamune2]

Das mit den kompletten Bereichen Blocken würde ich auch empfehlen. Habe bei unserem vServer auch alles aus Asien und Naher Osten geblockt. Seit dem gibts keine Spambots mehr im Forum und der Server hat mehr Ruhe^^

Wenn eure Firewall damit überfordert ist wirds vielleicht Zeit für eine größere...

 

[Valkosh]

Hey,
Ich blocke mal alle Bereiche, welche in Frage kommen. << Hat geholfen
Danke für die Tipps.

Gruss Valkosh

 

[Kanibal]

Das ist normales Hintergrund-Rauschen und sollte einen normal ausgestatteten Server nicht stören. Bedank dich bei Leuten, die ihre Server nicht konfigurieren können.

Mein Tipp: Installier dir fail2ban - das ist eine Art Monitoring-Software, die du mit verschiedenen Modulen bestücken kannst und die bei 3x Fehlversuchen (beispielsweise Login o.ä.) die entsprechende IP bannt. Damit bekommt man das Problem relativ zügig in Griff.