Hallo,
mir ist aufgefallen, dass ich seit ein paar Tagen aus China mit wechselnden IP-Adressen, aber aus dem gleichen AdressPool über ssh "gescannt" werde.
Hier ein Auszug aus meinem fail2ban.log:
Auffällig ist, dass lt. whois-Abfrage die meisten Attacken aus chinesischen Netzen kommen:
61.144.43.224 - 61.144.43.239
61.155.0.0 - 61.155.255.255
61.174.48.0 - 61.174.55.255
116.8.0.0 - 116.11.255.255
Entsprechend dieser Anleitung oder der hier kann man einzelne IP's blacklisten. Da bei mir der/die Angreifer mit ständig wechselnder IP auftreten ist die Pflege der Blacklist-Datei ein größerer Aufwand.
Laut dieser englischen Anleitung könnte man das auch automatisieren, falls ich den Text richtig verstanden habe. In jedem Fall wird die Blacklist-Datei mit der Zeit riesig werden.
Meine Frage ist nun:
Kann man statt der singulären Adresse auch Adress-Bereiche angeben um einen kompletten ISP zu blocken?
Solange ich mit einem Rechner im Heimnetz experimentiere habe ich vorsorglich die Portweiterleitung für SSH deaktiviert.
Später auf einem vServer oder Root-Server beim Hoster kann ich das natürlich nicht mehr.
Grüsse erzhausen
mir ist aufgefallen, dass ich seit ein paar Tagen aus China mit wechselnden IP-Adressen, aber aus dem gleichen AdressPool über ssh "gescannt" werde.
Hier ein Auszug aus meinem fail2ban.log:
Code:
2014-07-23 08:20:05,823 fail2ban.actions: WARNING [ssh] Ban 61.174.51.224
2014-07-23 08:21:12,967 fail2ban.actions: WARNING [ssh] Ban 122.225.103.118
2014-07-23 08:30:06,693 fail2ban.actions: WARNING [ssh] Unban 61.174.51.224
2014-07-23 08:31:13,810 fail2ban.actions: WARNING [ssh] Unban 122.225.103.118
2014-07-23 08:33:06,984 fail2ban.actions: WARNING [ssh] Ban 116.10.191.228
2014-07-23 08:43:07,789 fail2ban.actions: WARNING [ssh] Unban 116.10.191.228
2014-07-23 09:03:55,423 fail2ban.actions: WARNING [ssh] Ban 61.174.50.224
2014-07-23 09:04:34,495 fail2ban.actions: WARNING [ssh] Ban 116.98.11.244
2014-07-23 09:06:47,696 fail2ban.actions: WARNING [ssh] Ban 116.10.191.164
2014-07-23 09:09:41,956 fail2ban.actions: WARNING [ssh] Ban 61.174.51.222
2014-07-23 09:13:56,323 fail2ban.actions: WARNING [ssh] Unban 61.174.50.224
2014-07-23 09:14:35,390 fail2ban.actions: WARNING [ssh] Unban 116.98.11.244
2014-07-23 09:16:48,590 fail2ban.actions: WARNING [ssh] Unban 116.10.191.164
2014-07-23 09:19:42,842 fail2ban.actions: WARNING [ssh] Unban 61.174.51.222
2014-07-23 09:28:49,543 fail2ban.actions: WARNING [ssh] Ban 116.10.191.213
2014-07-23 09:38:50,349 fail2ban.actions: WARNING [ssh] Unban 116.10.191.213
2014-07-23 12:00:33,664 fail2ban.actions: WARNING [ssh] Ban 61.174.51.231
2014-07-23 12:10:34,500 fail2ban.actions: WARNING [ssh] Unban 61.174.51.231
2014-07-23 12:32:51,206 fail2ban.actions: WARNING [ssh] Ban 208.69.28.77
2014-07-23 12:42:52,017 fail2ban.actions: WARNING [ssh] Unban 208.69.28.77
2014-07-23 21:38:03,160 fail2ban.actions: WARNING [ssh] Ban 91.218.78.120
2014-07-23 21:48:04,010 fail2ban.actions: WARNING [ssh] Unban 91.218.78.120
2014-07-23 22:00:15,982 fail2ban.actions: WARNING [ssh] Ban 116.10.191.195
2014-07-23 22:10:16,836 fail2ban.actions: WARNING [ssh] Unban 116.10.191.195
2014-07-24 04:07:04,032 fail2ban.actions: WARNING [ssh] Ban 222.163.192.148
2014-07-24 04:15:26,786 fail2ban.actions: WARNING [ssh] Ban 61.174.51.227
2014-07-24 04:17:04,967 fail2ban.actions: WARNING [ssh] Unban 222.163.192.148
2014-07-24 04:25:27,713 fail2ban.actions: WARNING [ssh] Unban 61.174.51.227
2014-07-24 04:35:36,617 fail2ban.actions: WARNING [ssh] Ban 221.224.18.3
2014-07-24 04:45:37,535 fail2ban.actions: WARNING [ssh] Unban 221.224.18.3
2014-07-24 08:49:13,630 fail2ban.actions: WARNING [ssh] Ban 116.10.191.169
2014-07-24 08:59:14,483 fail2ban.actions: WARNING [ssh] Unban 116.10.191.169
2014-07-24 09:09:23,313 fail2ban.actions: WARNING [ssh] Ban 116.10.191.196
2014-07-24 09:19:24,141 fail2ban.actions: WARNING [ssh] Unban 116.10.191.196
2014-07-24 10:04:38,693 fail2ban.actions: WARNING [ssh] Ban 61.174.50.235
2014-07-24 10:05:47,806 fail2ban.actions: WARNING [ssh] Ban 61.144.43.235
2014-07-24 10:14:39,565 fail2ban.actions: WARNING [ssh] Unban 61.174.50.235
2014-07-24 10:15:48,677 fail2ban.actions: WARNING [ssh] Unban 61.144.43.235
2014-07-24 10:42:58,856 fail2ban.actions: WARNING [ssh] Ban 61.174.50.216
2014-07-24 10:52:59,717 fail2ban.actions: WARNING [ssh] Unban 61.174.50.216
2014-07-24 12:15:42,677 fail2ban.actions: WARNING [ssh] Ban 116.10.191.231
2014-07-24 12:25:43,522 fail2ban.actions: WARNING [ssh] Unban 116.10.191.231
2014-07-24 12:57:47,293 fail2ban.actions: WARNING [ssh] Ban 61.174.51.220
2014-07-24 13:07:48,191 fail2ban.actions: WARNING [ssh] Unban 61.174.51.220
2014-07-24 13:19:39,269 fail2ban.actions: WARNING [ssh] Ban 61.174.51.196
2014-07-24 13:29:40,189 fail2ban.actions: WARNING [ssh] Unban 61.174.51.196
2014-07-24 17:17:24,321 fail2ban.actions: WARNING [ssh] Ban 116.10.191.189
2014-07-24 17:27:25,167 fail2ban.actions: WARNING [ssh] Unban 116.10.191.189
2014-07-24 17:55:13,447 fail2ban.actions: WARNING [ssh] Ban 61.174.51.206
2014-07-24 18:05:14,337 fail2ban.actions: WARNING [ssh] Unban 61.174.51.206
2014-07-24 19:15:07,201 fail2ban.actions: WARNING [ssh] Ban 61.155.203.56
2014-07-24 19:25:08,074 fail2ban.actions: WARNING [ssh] Unban 61.155.203.56
2014-07-24 19:37:33,135 fail2ban.actions: WARNING [ssh] Ban 61.174.50.235
2014-07-24 19:47:33,999 fail2ban.actions: WARNING [ssh] Unban 61.174.50.235
2014-07-24 20:05:38,470 fail2ban.actions: WARNING [ssh] Ban 61.174.51.222
2014-07-24 20:15:39,373 fail2ban.actions: WARNING [ssh] Unban 61.174.51.222
2014-07-24 20:24:10,164 fail2ban.actions: WARNING [ssh] Ban 61.174.51.211
2014-07-24 20:34:11,116 fail2ban.actions: WARNING [ssh] Unban 61.174.51.211
2014-07-24 20:56:24,109 fail2ban.actions: WARNING [ssh] Ban 62.162.44.130
61.144.43.224 - 61.144.43.239
61.155.0.0 - 61.155.255.255
61.174.48.0 - 61.174.55.255
116.8.0.0 - 116.11.255.255
Entsprechend dieser Anleitung oder der hier kann man einzelne IP's blacklisten. Da bei mir der/die Angreifer mit ständig wechselnder IP auftreten ist die Pflege der Blacklist-Datei ein größerer Aufwand.
Laut dieser englischen Anleitung könnte man das auch automatisieren, falls ich den Text richtig verstanden habe. In jedem Fall wird die Blacklist-Datei mit der Zeit riesig werden.
Meine Frage ist nun:
Kann man statt der singulären Adresse auch Adress-Bereiche angeben um einen kompletten ISP zu blocken?
Solange ich mit einem Rechner im Heimnetz experimentiere habe ich vorsorglich die Portweiterleitung für SSH deaktiviert.
Später auf einem vServer oder Root-Server beim Hoster kann ich das natürlich nicht mehr.
Grüsse erzhausen