Lonesome Walker

So, ich hab ja schon ma geschrieben, daß ich Logfile-Analyse mache, weil man sonst ja den Server immer auf 100% fahren kann.
Nachdem ich jetzt IP’s gesammelt habe, und die entsprechenden Stellen angeschrieben habe (Abuse-Mail oder Owner selbst), aber bisher sehr wenig geantwortet/reagiert haben, hier eine kleine Sammlung an IP-Adressen, bereits copy&paste-freundlich für die Konsole…
iptables -A INPUT -s 217.199.188.149 -j DROP &&
iptables -A INPUT -s 88.191.67.60 -j DROP &&
iptables -A INPUT -s 221.8.79.168 -j DROP &&
iptables -A INPUT -s 85.114.135.29 -j DROP &&
iptables -A INPUT -s 74.53.83.10 -j DROP &&
iptables -A INPUT -s 208.109.125.157 -j DROP &&
iptables -A INPUT -s 212.71.159.239 -j DROP &&
iptables -A INPUT -s 216.180.243.50 -j DROP &&
iptables -A INPUT -s 199.72.118.62 -j DROP &&
iptables -A INPUT -s 85.14.218.218 -j DROP &&
iptables -A INPUT -s 202.157.139.51 -j DROP &&
iptables -A INPUT -s 202.144.157.157 -j DROP &&
iptables -A INPUT -s 202.105.178.15 -j DROP &&
iptables -A INPUT -s 78.106.142.105 -j DROP &&
iptables -A INPUT -s 216.240.132.119 -j DROP &&
iptables -A INPUT -s 218.208.50.164 -j DROP &&
iptables -A INPUT -s 219.94.169.84 -j DROP &&
iptables -A INPUT -s 207.226.165.186 -j DROP &&
iptables -A INPUT -s 82.195.154.96 -j DROP &&
iptables -A INPUT -s 209.62.31.194 -j DROP &&
iptables -A INPUT -s 213.193.223.44 -j DROP

Sollte ein Admin hier seine IP entdecken, so sollte er seinen Server mal auf mögliche Schwachstellen untersuchen, denn hier liste ich nur HTTP- und SSL-Brutforce, wenn dies über längere Zeit hinweg geschieht.

Jaja, als Debian-Anhänger hat man halt in seinem Repository nicht immer die aktuellsten Pakete…
Aber man kann ja immer aus Quellen selbst installieren.
Hat halt den „Nachteil“, daß dann jede Einstellung manuell gemacht werden muß.

Für alle, die rkhunter from Source installiert haben, hier ein Script, das einfach unter /etc/cron.daily gespeichert werden sollte.

#!/bin/sh

echo „Subject: rkhunter daily report (oder so)“ > /var/log/rkreport
echo „To: empfaenger@domain.tld“ >> /var/log/rkreport
echo „“ >> /var/log/rkreport
/usr/local/bin/rkhunter -versioncheck >> /var/log/rkreport
/usr/local/bin/rkhunter -update >> /var/log/rkreport
/usr/local/bin/rkhunter -c -cronjob -createlogfile /var/log/rkhunter.log >> /var/log/rkreport
cat /var/log/rkhunter.log >> /var/log/rkreport
rm /var/log/rkhunter.log
sendmail -t -i -f absender@domain.tld empfaenger@domain.tld < /var/log/rkreport rm /var/log/rkreport Den ausführlichen Teil (zwecks Rechte, etc...) spare ich mir, da Server-Administration ohnehin nichts für n00bs ist.