[sage] ssh-angriffe haeufen sich ...
Andreas Jellinghaus
aj at dungeon.inka.de
Thu Apr 24 15:59:15 CEST 2008
Am Donnerstag, 24. April 2008 11:32:39 schrieb Benedikt Stockebrand:
> auch wenn das jetzt Gefahr läuft, einen Flame War loszutreten: Wenn
> ich durch einen anderen Port oder ähnliches frühzeitig sicherzustelle,
> dass nur noch ein Bruchteil solcher Script-Angriffe stattfindet, dann
> reduziere ich damit die Anzahl von Fehlalarmen, das heisst ich habe
> mehr Zeit, um mich um ernstzunehmendere Angriffe zu kümmern.
Da will ich doch mal in die Gruppe nachfragen:
Was macht ihr bei einem Port scan auf 22 oder einem login versuch?
Mich wundert hier der Begriff "Fehlalarm", da ich da keinen alarm
auslösen würde - passiert doch leider viel zu oft. Statistisch kann
man das beobachten, und auf massive angriffe reagieren.
aber jedes script kiddy oder bot, der schaut ob "root" vielleicht das passwort
"root" hat? scheint mir ein wenig viel aufwand.
Ist nicht eine Situation wünschenswert, in dem man das grundrauschen durch
port scans, login versuche etc. einfach ignoriert und nur statistisch
beobachtet?
Tschüss, Andreas
More information about the SAGE
mailing list