[Eisfair] Geoblocking einrichten? / BruteForceBlock

[Uwe Kunze]

>> Der Port IST woanders, Standard-Ports hab ich noch nie nach aussen
>> verwendet, trotzdem wurde er gefunden...

Hi Marcus,

> Echt, ich habe in der Penne seit Jahren keinen Zugriffsversuch mehr
> gehabt,seit das nicht mehr auf einem Standardport läuft - zudem wechselt
> nächtens die IP; ein angreifer kann sich also nicht so wirklich drauf
> einschießen.

diese Erfahrung kann ich nicht bestätigen.
Ich betreibe auch einige Dienste ... und keinen (außer IMAPS und SMPTS) 
auf Standartports (sondern im weit 5stelligen Bereich) ... und auf alle 
Ports werden (meist intervallartig) Attacken gefahren, i.d.R mit 
wechselnden Quell-IP-Adressen.

Es ist mal 4 Wochen Ruhe .... und dann habe ich manchmal eine ganze 
Woche lang Attacken im Sekundentakt ... ssh-Einbruchsversuche mit 
Wörterbuchlisten, Angriffsversuche auf den Mailserver und alles Mögliche ...

Neben Olafs Brute-Force-Blocking habe ich mir noch weitere Scripte 
geschrieben, die die Logfiles des Apachen, Exim usw. in Echtzeit 
überwachen und die attackierende IP sofort blocken.

Aktuell enthält meine Blockliste etwa 6400 IP-Adressen (gesammelt über 
ein knappes Jahr), die ich per Default blocke. Täglich kommen welche 
hinzu ... manchmal nur zwei, aber manchmal auch 100 am Tag.

Im Übrigen gebe ich mich nicht der Illusion hin, einen gezielten 
Einruchsversuch von Profis wirklich verhindern zu können. Mit solchen 
IP-Blocklisten versuche ich nur, die automatisch ausgeführten 
0815-Einbruchscripte aus China, Russland usw. ein bischen zu bremsen ...

Gruß Uwe