Hallo zusammen,
auf einem Server habe ich hunderte (bis tausende) Einträge in der Messages
derart:
Feb 25 09:16:13 s15203220 sshd[18032]: reverse mapping checking getaddrinfo
for 162.251.36.72.reverse.layeredtech.com failed - POSSIBLE BREAKIN ATTEMPT!
oder:
Feb 24 22:14:19 s15203220 sshd[8238]: Invalid user web9 from 147.83.195.16
Feb 24 22:14:22 s15203220 sshd[8264]: Invalid user web9 from 147.83.195.16
Feb 24 22:14:23 s15203220 sshd[8291]: Invalid user web9 from 147.83.195.16
Feb 24 22:14:24 s15203220 sshd[8316]: Invalid user web9 from 147.83.195.16
Feb 24 22:14:24 s15203220 sshd[8344]: Invalid user web9 from 147.83.195.16
Feb 24 22:14:25 s15203220 sshd[8368]: Invalid user web9 from 147.83.195.16
Feb 24 22:14:26 s15203220 sshd[8428]: Invalid user web9 from 147.83.195.16
... usw.
Hättet ihr einen Vorschlag, wie man via IDS (snort?) oder sonstirgendwie eine
IP übergangsweise (für eine stunde oder so) nach eine bestimmten Anzahl
"Invalid user" Zugriffen sperren kann?
Danke schon mal für jeen Hinweis und viele Grüße,
Christoph
Received on Sat, 4 Mar 2006 11:22:35 +0100
This archive was generated by hypermail 2.1.8 : Sat Mar 04 2006 - 11:22:56 CET