18
Häufige Portscans etc. weitere Vorgehensweise?
Aloha an alle,
ich kann auf meiner FireWall recht oft (mehrmals am tag) Portscanns im Log sehen bzw. sehe sporadisch alle paar Minuten wie versucht wird, über die üblichen Ports (SSH,Telnet,MySQL, HTTP-Old.....) reinzukommen.
An sich kein Problem, die Firewall Blockt ja alles ab. Also ein Sicherheitsrisiko ist es an sich nicht.
Dennoch..gerade wenn öfter mal die gleiche IP auftaucht, würde mich interessieren ob es eine Stelle gibt der man derartiges melden kann.
Da wir mehrere feste IP-Adressen haben, sind wir darauf natürlich festgelegt.
Über Antworten würde ich mich freuen.
viele grüße
Theo
ich kann auf meiner FireWall recht oft (mehrmals am tag) Portscanns im Log sehen bzw. sehe sporadisch alle paar Minuten wie versucht wird, über die üblichen Ports (SSH,Telnet,MySQL, HTTP-Old.....) reinzukommen.
An sich kein Problem, die Firewall Blockt ja alles ab. Also ein Sicherheitsrisiko ist es an sich nicht.
Dennoch..gerade wenn öfter mal die gleiche IP auftaucht, würde mich interessieren ob es eine Stelle gibt der man derartiges melden kann.
Da wir mehrere feste IP-Adressen haben, sind wir darauf natürlich festgelegt.
Über Antworten würde ich mich freuen.
viele grüße
Theo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 205512
Url: https://administrator.de/contentid/205512
Printed on: May 5, 2024 at 03:05 o'clock
18 Comments
Latest comment
Hallo,
was macht eure Firewall? Reject oder Drop?
Gruß
was macht eure Firewall? Reject oder Drop?
Gruß
Moin,
Wie sieht deine iptables aus?
Grüße,
Dani
was macht eure Firewall? Reject oder Drop?
Ist das Gleiche. Wie sieht deine iptables aus?
Grüße,
Dani
Hallo
@Dani nein das ist nicht das gleiche:
Reject: Wird das Paket mit einem Connection Refused zurück geworfen.
Drop: Der Sender bekommt ein TimeOut und weiß nicht ob am anderen Ende überhaupt ein Gerät vorhanden ist.
Gruß
@Dani nein das ist nicht das gleiche:
Reject: Wird das Paket mit einem Connection Refused zurück geworfen.
Drop: Der Sender bekommt ein TimeOut und weiß nicht ob am anderen Ende überhaupt ein Gerät vorhanden ist.
Gruß
Moin hitman,
das war Ironie... auch wenn heute nicht Montag oder Freitag is.
Grüße,
Dani
das war Ironie... auch wenn heute nicht Montag oder Freitag is.
Grüße,
Dani
Die FireWall Dropt alles was von extern kommt. Reject gibts bei keinem Port.
Es wird also alles verworfen. Nur sehr wenige Ports kommen durch und die landen auch in einer DMZ. Da gibts also kein Problem.
FireWall steht komplett auf Deny Any....für die NAT´s gibt es Port und IP basierte FireWall Regeln.
.lg
Es wird also alles verworfen. Nur sehr wenige Ports kommen durch und die landen auch in einer DMZ. Da gibts also kein Problem.
FireWall steht komplett auf Deny Any....für die NAT´s gibt es Port und IP basierte FireWall Regeln.
.lg
Von welchen Betriebssytem reden wir? Falls Linux läuft schau die fail2ban an.
Hab ich auch im Einsatz.
Grüße,
Dani
Hab ich auch im Einsatz.
Grüße,
Dani
Die FireWall ist eine Hardware FireWall. Fail2ban ist zwar eine sehr nette Geschichte aber scheidet bei mir natürlich aus...
Auf den FTP Servern läuft das Python Script. Aber soweit kommen ja die Anfragen gar nicht. Mich würde ja nur interessieren ob man dem irgendwie nachgehen kann.
lg
Theo
Auf den FTP Servern läuft das Python Script. Aber soweit kommen ja die Anfragen gar nicht. Mich würde ja nur interessieren ob man dem irgendwie nachgehen kann.
lg
Theo
Muss ich dir alles aus der Nase ziehen! Welcher Firewallhersteller und welches Modell?
Grüße,
Dani
Edit: Missverständis, Sorry!
Grüße,
Dani
Edit: Missverständis, Sorry!
Na fein ;)
USG200 von ZyXel.
lg
Theo
USG200 von ZyXel.
lg
Theo
Hi,
darum geht es ihm doch gar nicht.
Ich verstehe es so, das der TO wissen möchte ob man den Provider informieren sollte.
Wenn es deutsche Server die bei dir anklopfen, kannst du es mal versuchen.
Da findest du meist etwas auf der Homepage. Kann ja sein das der Kundenserver gekapert wurde.
Bei ausländischen, wir haben da im Moment viel von Belarus Telecom (oder so), macht das meist wenig Sinn.
Da ist die Zeit zu schade, mir zumindest.
Mag Ausnahmen geben, aber bisher sind die paar Anfragen im Internet verschwunden ...
VG
Deepsys
darum geht es ihm doch gar nicht.
Ich verstehe es so, das der TO wissen möchte ob man den Provider informieren sollte.
Wenn es deutsche Server die bei dir anklopfen, kannst du es mal versuchen.
Da findest du meist etwas auf der Homepage. Kann ja sein das der Kundenserver gekapert wurde.
Bei ausländischen, wir haben da im Moment viel von Belarus Telecom (oder so), macht das meist wenig Sinn.
Da ist die Zeit zu schade, mir zumindest.
Mag Ausnahmen geben, aber bisher sind die paar Anfragen im Internet verschwunden ...
VG
Deepsys
Hallo Deepsys,
genau darum geht es mir.
Oftmals springen die Ip´s daher gehe ich davon aus das es die üblichen "anonymisier" Netzwerke sind von denen die fragwürdigen Anfragen kommen.
Wenn sich Ip´s häufen, werd ich mal gucken ob die von deutschen Servern kommen falls nicht muss ich mich wohl an die roten Einträge in meinem Log gewöhnen ;)
lg
Theo
genau darum geht es mir.
Oftmals springen die Ip´s daher gehe ich davon aus das es die üblichen "anonymisier" Netzwerke sind von denen die fragwürdigen Anfragen kommen.
Wenn sich Ip´s häufen, werd ich mal gucken ob die von deutschen Servern kommen falls nicht muss ich mich wohl an die roten Einträge in meinem Log gewöhnen ;)
lg
Theo
Moin,
Einfach in der whois-Datenbank nachschauen und eine Abuse-Meldung rausschicken. Wird aber, sofern es kein Europäer ist, kaum Konsequenzen haben.
lks
Einfach in der whois-Datenbank nachschauen und eine Abuse-Meldung rausschicken. Wird aber, sofern es kein Europäer ist, kaum Konsequenzen haben.
lks
Hallo theoberlin
Ich haben auch eine Zyxel USG200.
Frage: Hast du einige oder sämtliche Portscan-Filter in Anti-X --> ADP --> Traffic Anomaly auf block gesetzt?
Dort kannst du allenfalls auch auswählen, dass keine Log-Einträge mehr erstellt werden. Vorausgesetzt du bist 100% sicher, dass die Einstellungen stimmen und du somit keinen wichtigen Log-Eintrag verpasst.
Gruss
Marc
Ich haben auch eine Zyxel USG200.
Frage: Hast du einige oder sämtliche Portscan-Filter in Anti-X --> ADP --> Traffic Anomaly auf block gesetzt?
Dort kannst du allenfalls auch auswählen, dass keine Log-Einträge mehr erstellt werden. Vorausgesetzt du bist 100% sicher, dass die Einstellungen stimmen und du somit keinen wichtigen Log-Eintrag verpasst.
Gruss
Marc
Hallo Marc,
den Eintrag muss ich nochmal überprüfen. Grundsätzlich habe ich etliches auf Block gesetzt z.B Port Sweeps etc.
Bei mir stehen schon sehr wenige Einträge auf LogAlert eigenltich nur die die wirklich ein Risiko darstellen können.
Grundsätzlich will ich ja auch sehen wenn was passiert.
Na ich werd mal gucken was sich da noch machen lässt.
Würdest du mir per PN mal deine Erfahrungen mit den ADP Block/Allow Einstellungen schicken? Vielleicht hast du ja noch was geblockt was ich vergessen habe und Sinn macht.
@lochkartenstanzer..whois hab ich auch ab und an schonmal angeschmissen.
lg
Theo
den Eintrag muss ich nochmal überprüfen. Grundsätzlich habe ich etliches auf Block gesetzt z.B Port Sweeps etc.
Bei mir stehen schon sehr wenige Einträge auf LogAlert eigenltich nur die die wirklich ein Risiko darstellen können.
Grundsätzlich will ich ja auch sehen wenn was passiert.
Na ich werd mal gucken was sich da noch machen lässt.
Würdest du mir per PN mal deine Erfahrungen mit den ADP Block/Allow Einstellungen schicken? Vielleicht hast du ja noch was geblockt was ich vergessen habe und Sinn macht.
@lochkartenstanzer..whois hab ich auch ab und an schonmal angeschmissen.
lg
Theo
Zitat von @Hitman4021:
@Dani nein das ist nicht das gleiche:
Reject: Wird das Paket mit einem Connection Refused zurück geworfen.
Drop: Der Sender bekommt ein TimeOut und weiß nicht ob am anderen Ende überhaupt ein Gerät vorhanden ist.
@Dani nein das ist nicht das gleiche:
Reject: Wird das Paket mit einem Connection Refused zurück geworfen.
Drop: Der Sender bekommt ein TimeOut und weiß nicht ob am anderen Ende überhaupt ein Gerät vorhanden ist.
Sollte nicht, wenn ein Gerät tatsächlich nicht vorhanden ist, der letzte vorgeschaltete Router nach einigen Sekunden Timeout ein ICMP Destination Host Unreachable rausschicken?
Wenn also gar nichts zurück kommt, dann kann man sich doch schon ziemlich sicher sein, dass da etwas ist, was einfach drop-t.
Tendenziell bin ich ja eher dafür nur reject zu verwenden.
Zitat von @Deepsys:
darum geht es ihm doch gar nicht.
Ich verstehe es so, das der TO wissen möchte ob man den Provider informieren sollte.
darum geht es ihm doch gar nicht.
Ich verstehe es so, das der TO wissen möchte ob man den Provider informieren sollte.
Hatte ich auch so verstanden, halte ich aber eigentlich für fragwürdig.
Sicher ist ein Portscan, oder ein "Wir probieren ein paar Passworte am SSH-Server aus" nicht wünschenswert, aber ich sehe darin auch kein Vergehen, das gemeldet werden müsste, solange es sich um öffentliche Server handelt.
Das ist in etwa so, wie wenn jemand durch eine Stadt geht und an jeder Haustüre (oder Autotüre) rüttelt um zu sehen ob sie offen ist. Daran ist ja nichts verbotenes, solange es dabei bleibt.
Zitat von @fnord2000:
Das ist in etwa so, wie wenn jemand durch eine Stadt geht und an jeder Haustüre (oder Autotüre) rüttelt um zu sehen
ob sie offen ist. Daran ist ja nichts verbotenes, solange es dabei bleibt.
Das ist in etwa so, wie wenn jemand durch eine Stadt geht und an jeder Haustüre (oder Autotüre) rüttelt um zu sehen
ob sie offen ist. Daran ist ja nichts verbotenes, solange es dabei bleibt.
Deswegen darf man denjenigen trotzdem ermahnen oder der Polizei melden, damit sie ihn überprüft.
Es ist ein unterschied, ob man mal aus versehen an der falschen Tür rüttelt, oder ob man das systematisch entweder an jedem Haus der Straße macht, bzw. regelmäig immer am gleichen Haus, wenn die Bewohner grad nicht da sind.
lks
PS. HAst Du das mal im realen Leben versucht, mal an jeder Haustür Haustür zu rütteln? ich wette, daß dann recht schnell die Polizei dasteht (oder jemand, der einem auf die Birne haut).
Zitat von @Lochkartenstanzer:
PS. HAst Du das mal im realen Leben versucht, mal an jeder Haustür Haustür zu rütteln? ich wette, daß dann
recht schnell die Polizei dasteht (oder jemand, der einem auf die Birne haut).
PS. HAst Du das mal im realen Leben versucht, mal an jeder Haustür Haustür zu rütteln? ich wette, daß dann
recht schnell die Polizei dasteht (oder jemand, der einem auf die Birne haut).
Daran zweifle ich nicht.
Ändert aber nichts an der Tatsache, dass es zwar ein seltsammes Verhalten ist, aber gegen kein Gesetz verstößt und die Polizei daher im Grunde nichts tun kann. Unterm Strich ist sie dann also ganz umsonst gekommen und hätte es auch gleich bleiben lassen können.
Und daher halte ich auch das sich-beschweren beim Provider für überflüssig, weil dessen Kunde ja eben nichts Verbotenes getan hat.
Aloha,
keine Sorge, wenn mal einer an meine ohnehin komplett geschlossene Tür klopft hab ich nicht unbedingt ein Problem damit. Nur wenn ich sehe wie öfter von selben IP´s sämtliche Ports gesweept werden werde ich hellhörig. Der besagte Server steht auch in Deutschland und per whois ist ne Mail raus. Warscheinlich kann irgendein Admin sein Glück noch nicht fassen, dass sein Server ein Problem hat.
Nun vielen Dank für die hilfreichen Posts.
lg
Theo
keine Sorge, wenn mal einer an meine ohnehin komplett geschlossene Tür klopft hab ich nicht unbedingt ein Problem damit. Nur wenn ich sehe wie öfter von selben IP´s sämtliche Ports gesweept werden werde ich hellhörig. Der besagte Server steht auch in Deutschland und per whois ist ne Mail raus. Warscheinlich kann irgendein Admin sein Glück noch nicht fassen, dass sein Server ein Problem hat.
Nun vielen Dank für die hilfreichen Posts.
lg
Theo
