Zum Inhalt springen.
Sympa Menü

nrw-kreis-recklinghausen - [Kreis-RE] Angriffe auf unseren Server

nrw-kreis-recklinghausen AT lists.piratenpartei.de

Betreff: Mailingliste zur Koordination der Kreis Recklinghausen Piraten

Listenarchiv

[Kreis-RE] Angriffe auf unseren Server


Chronologisch Thread 
  • From: "Uwe(@Joshibaer)" <joshibaer.marl AT googlemail.com>
  • To: Mailingliste zur Koordination der Kreis Recklinghausen Piraten <nrw-kreis-recklinghausen AT lists.piratenpartei.de>
  • Subject: [Kreis-RE] Angriffe auf unseren Server
  • Date: Fri, 28 Oct 2016 17:35:09 +0200
  • Authentication-results: mail.intern.piratenpartei.de (MFA); dkim=pass (2048-bit key) header.d=googlemail.com

Wie wahrscheinlich schon jeder bemerkt hatte ist unser Server etwas langsamer geworden.
Seitdem wir einen Wortpressblock hosten , ist die Zahl und Intensität der Angriffe gestiegen.

Wir hatten drei Arten von Angriffen.
Eigner der Standard Logins auf die ssh Konsole versuchte.
Einer der Fehler in den PHP Scripten als Angriffsziel suchte
und zuletzt die direkten Angriffe auf Wordpress.

Da die Angriffe zwar von wenigen aber immer wechselnden IP Adressen erfolgte und fast 40 % Prozessorlast mit 80 % Speicherauslastung verbrauchten , habe ich unter Plesk das Linunxtool Fail2Ban installiert.

Nach den üblichen Konsolen-schlachten habe ich dann alles so konfiguriert , das unser Server sich wieder bei 1% Auslastung   langweilt.

Für alle die es Interessiert es waren folgende IP Adressen die automatisch die Scans durchführten :

119.249.54.66 ssh
121.18.238.104 ssh
121.18.238.114 ssh
123.31.35.116 recidive
162.251.126.86 recidive
191.96.249.80 ip-blacklist
221.194.47.208 ssh
221.194.47.224 recidive
221.194.47.229 recidive
221.229.172.75 recidive

Alle die mit "ssh" benannt sind führen gerade einen automatischen Scan auf Standartpasswörter durch.
Die mit "recideve" sind für 1 Tag gesperrt , wahrscheinlich sind die Rechner teil eines Bettnetzwerkes und haben mehrmals hintereinander die ssh Konsole angegriffen.
Alle , zurzeit nur eine, die mit der "IP-blacklist" versehen sind , wurden dauerhaft für den Server gebannt.

Einen schönen Tag noch ,


Uwe(@Joshibaer,ZBCP9XKR) 


  • [Kreis-RE] Angriffe auf unseren Server, Uwe(@Joshibaer), 28.10.2016

Archiv bereitgestellt durch MHonArc 2.6.19.

Seitenanfang