[sage] ssh-angriffe haeufen sich ...
Frank Brodbeck
fab at guug.de
Thu Apr 24 16:34:07 CEST 2008
Andreas Jellinghaus has spoken, thus:
> Am Donnerstag, 24. April 2008 11:32:39 schrieb Benedikt Stockebrand:
> > auch wenn das jetzt Gefahr läuft, einen Flame War loszutreten: Wenn
> > ich durch einen anderen Port oder ähnliches frühzeitig sicherzustelle,
> > dass nur noch ein Bruchteil solcher Script-Angriffe stattfindet, dann
> > reduziere ich damit die Anzahl von Fehlalarmen, das heisst ich habe
> > mehr Zeit, um mich um ernstzunehmendere Angriffe zu kümmern.
>
> Da will ich doch mal in die Gruppe nachfragen:
> Was macht ihr bei einem Port scan auf 22 oder einem login versuch?
Ich nutze (allerdings nur privat) die overload Funktion der pf und
blocke dann frühzeitig den Netzverkehr der ip's in der entsprechenden pf
table. Funktioniert natürlich bei offensichtlichen scan versuchen.
Gruss,
Frank.
--
Looking down from Ethereal Skies
Silent crystalline tears I cry
For all must say their last goodbye - to Paradise
More information about the SAGE
mailing list