wie meinst das jetzt ? bin noch sehr neu in den bereich habe mich viel an die tutorial gehalten von hier !

ahja ...
und im TUT steht, das alles mögliche sich im Web-Root ansammeln soll ...

was gehört denn alles in den Web-Root rein ????

Was er da gepostet hat wird sicherlich nicht sein Server sein sondern die IP vom Server die seinen Server "gescannt" hat ....

@ike, so hab ich Ihn auch verstanden.

@razza ich weis nicht nach welchem Tutorial du dein fail2ban eingerichtet hast, aber ich empfehle die Einbindung von Blocklist. Da kannst die Reports von fail2ban automatisch hinschicken lassen, die kümmern sich dann um Abuse an den Verursacher und bieten gleichzeitig RBLs an die die eingelieferten IP-Adressen enthalten. Diese wiederrum nutze ich bei meinen Mailservern zum filtern. Hin und wieder sollte man alle Systemlogs durchgucken und überprüfen ob dort ungewöhnliche Zugriffe geloggt werden (auth.log, messages, syslog, mail.log, Webserver Log, ferm), dies kann man dann auch in fail2ban aufnehmen.

Wenn man dann besonders viel Langeweile hat kann man auch noch Honypots aufsetzen (Gefakter telnetd/sshd mit schlechtem/keinem Passwort). Dies lockt auch diverse Bots an die man schön sperren kann.


Wenn jemand Konfigurationsprobleme oder ähnliches hat einfach melden, Ich helfe da gern.

ah ok werde ich mir mal anschauen habe noch logwatch drauf der überprüft ja auch die zugriffe mit welcher ip und wo

pflogsumm für Mailserverlogs ist auch zu empfehlen.