fail2ban
 

habe da mal ne rückfrage! ist das Normal das man am tag 1-2 Mails bekommt welche ip gesperrt wird ? Favoriten sind : China,
Russland und Usa

Wenn es so eingestellt ist -- ja

bekomme am meisten von Index of / kann man mal im browser eingebn aus California müsst mal drauf schauen vllt könnt ihr ja was damit anfangen

Zwei Mails, Süß :)

Das ist normales Netzwerkrauschen

warum wie viele bekommst du ?

was zu Teufel machst du da??!!!
NICHTS von all dem hat im Web-Root was verloren ....

So Sehts aus:notworthy:

4stellige Anzahl, aber auch ein paar mehr Server.

Cerberus : es geht um root server !

bastelfreak : hast du normal einstellung oder was besonderes was man erfahren darf

dann solltest du als erstes mal die Kiste sauber machen ....
und den ganzen schrott ausm webroot entfernen

wie meinst das jetzt ? bin noch sehr neu in den bereich habe mich viel an die tutorial gehalten von hier !

ahja ...
und im TUT steht, das alles mögliche sich im Web-Root ansammeln soll ...

was gehört denn alles in den Web-Root rein ????

Was er da gepostet hat wird sicherlich nicht sein Server sein sondern die IP vom Server die seinen Server "gescannt" hat ....

@ike, so hab ich Ihn auch verstanden.

@razza ich weis nicht nach welchem Tutorial du dein fail2ban eingerichtet hast, aber ich empfehle die Einbindung von Blocklist. Da kannst die Reports von fail2ban automatisch hinschicken lassen, die kümmern sich dann um Abuse an den Verursacher und bieten gleichzeitig RBLs an die die eingelieferten IP-Adressen enthalten. Diese wiederrum nutze ich bei meinen Mailservern zum filtern. Hin und wieder sollte man alle Systemlogs durchgucken und überprüfen ob dort ungewöhnliche Zugriffe geloggt werden (auth.log, messages, syslog, mail.log, Webserver Log, ferm), dies kann man dann auch in fail2ban aufnehmen.

Wenn man dann besonders viel Langeweile hat kann man auch noch Honypots aufsetzen (Gefakter telnetd/sshd mit schlechtem/keinem Passwort). Dies lockt auch diverse Bots an die man schön sperren kann.


Wenn jemand Konfigurationsprobleme oder ähnliches hat einfach melden, Ich helfe da gern.

ah ok werde ich mir mal anschauen habe noch logwatch drauf der überprüft ja auch die zugriffe mit welcher ip und wo

pflogsumm für Mailserverlogs ist auch zu empfehlen.