IP-Adressen für iptables
So, ich hab ja schon ma geschrieben, daß ich Logfile-Analyse mache, weil man sonst ja den Server immer auf 100% fahren kann.
Nachdem ich jetzt IP’s gesammelt habe, und die entsprechenden Stellen angeschrieben habe (Abuse-Mail oder Owner selbst), aber bisher sehr wenig geantwortet/reagiert haben, hier eine kleine Sammlung an IP-Adressen, bereits copy&paste-freundlich für die Konsole…
iptables -A INPUT -s 217.199.188.149 -j DROP &&
iptables -A INPUT -s 88.191.67.60 -j DROP &&
iptables -A INPUT -s 221.8.79.168 -j DROP &&
iptables -A INPUT -s 85.114.135.29 -j DROP &&
iptables -A INPUT -s 74.53.83.10 -j DROP &&
iptables -A INPUT -s 208.109.125.157 -j DROP &&
iptables -A INPUT -s 212.71.159.239 -j DROP &&
iptables -A INPUT -s 216.180.243.50 -j DROP &&
iptables -A INPUT -s 199.72.118.62 -j DROP &&
iptables -A INPUT -s 85.14.218.218 -j DROP &&
iptables -A INPUT -s 202.157.139.51 -j DROP &&
iptables -A INPUT -s 202.144.157.157 -j DROP &&
iptables -A INPUT -s 202.105.178.15 -j DROP &&
iptables -A INPUT -s 78.106.142.105 -j DROP &&
iptables -A INPUT -s 216.240.132.119 -j DROP &&
iptables -A INPUT -s 218.208.50.164 -j DROP &&
iptables -A INPUT -s 219.94.169.84 -j DROP &&
iptables -A INPUT -s 207.226.165.186 -j DROP &&
iptables -A INPUT -s 82.195.154.96 -j DROP &&
iptables -A INPUT -s 209.62.31.194 -j DROP &&
iptables -A INPUT -s 213.193.223.44 -j DROP
Sollte ein Admin hier seine IP entdecken, so sollte er seinen Server mal auf mögliche Schwachstellen untersuchen, denn hier liste ich nur HTTP- und SSL-Brutforce, wenn dies über längere Zeit hinweg geschieht.
am 18.04.2008 um 16:43
hallochen,
hab gerade deine zeilen gelesen 🙂
auch ich bin über diese ars…..er ziemlich sauer.
ich habe mir aber recht effektiv geholfen:
zum einen hab ich (wie in deinem schema), aber komplette netzwerke mit den dazugehörigen masken gesperrt: iptables -A INPUT -s 202.0.0.0/32 -j DROP.
zum anderen hat mir psad geholfen, die einstellungen für die blockierte zeit hab ich auf 24 std statt auf eine std und alle netzte in der auto_dl auf 5 (z.b. 217.0.0.0/8 5;) gesetzt.
seitdem ist einiger massen ruhe 🙂
vielleicht hilft es dir
grüsschen ich
am 19.04.2008 um 12:20
hr hr hr, das is natürlich wesentlich effektiver, keine Frage.
Stell Dir aber mal vor, es gibt Firmen, die eben per Terminal-Server auf einer IP dieser Ranges arbeiten.
Was dann?
Ich hatte leider den Fall schon, von daher könnte ich heulen, daß ich es leider nicht mehr so machen kann.
Weiterhin kommt folgendes Problem hinzu:
User von dynamischen IP-Adressen, wie sie z.B. hier in Deutschland bei DSL-Anschlüssen so üblich sind, würden sich gar nicht freuen, wenn der Vorgänger der IP eine 24-Stunden Sperre ausgelöst hat.
Seite nicht erreichbar, das kann sich bei Shop-Systemen seeeeeehr negativ auswirken…
Oder stell Dir vor, dank IP-Spoofing liese sich so auch der Google-Bot aussperren.
Du siehst, alles schei*e, Deine Ellie 😉