Badips.com alternative?

cthluhu
Goto Top
Guten Tag!

Um log-clutter durch SSH brute-force Loginversuche an meinen Servern gering zu halten, habe ich bis vor kurzem die IP-Listen von badips.com verwendet um Loginversuche bereits per iptables zu blockieren.
Das System hat bis vor kurzem gut funktioniert, aber leider scheint sich das Projekt mehr schlecht als recht aufrecht zu erhalten, zumindest was die Erreichbarkeit der API angeht.
Daher suche eine alternative, aktiv gewartete Liste von IP-Adressen bekannter SSH-Angreifer, ähnlich wie badips.com, also gratis und von der community gepflegt.
Kann mir dazu jemand einen Tip geben?

mfg

Cthluhu

Content-Key: 370481

Url: https://administrator.de/contentid/370481

Ausgedruckt am: 20.05.2022 um 08:05 Uhr

Mitglied: 135799
135799 07.04.2018 aktualisiert um 16:57:44 Uhr
Goto Top
Hi.
Also ich mach das inzwischen anders, und zwar per Port-Knocking.
Per Default sind die Ports erst mal zu.
Kurz bevor ich mich per SSH einwählen möchte "klopfe" ich mit einem Paket bei einem bestimmten High-Port an, das startet auf dem Server ein Skript das die anklopfende IP für 1 Minute in eine IPTables Whitelist verfrachtet welche für den SSH Port freigeschaltet wird. Dann log ich mich per SSH ein und bin durch relelated,established weiterhin online. Simple but effective.

Alternativ natürlich wie immer => VPN vorschalten.

Gruß Schnuffi
Mitglied: Cthluhu
Cthluhu 07.04.2018 um 17:04:21 Uhr
Goto Top
Hallo @schnuffi

Danke fürs übern Tellerrand blicken. Portknocking hatte ich auch schon am Radar. Leider ist dafür der Umstellaufwand (sowohl auf Server, aber vor allem aber bei allen Clients) deutlich höher als den IP-Listenprovider zu wechseln.

mfg

Cthluhu
Mitglied: brammer
brammer 07.04.2018 um 18:06:32 Uhr
Goto Top
Hallo,

Anstatt das bei allen Clients zu machen reicht es doch das auf einem Jump PC zu machen... und von dort bequem weiter...
Wenn es nur um ein Netz geht...

Brammer
Mitglied: kaiand1
kaiand1 07.04.2018 um 19:32:06 Uhr
Goto Top
Du kannst auch wenn die Clients alle über einen Router (selbe IP haben) gehen auch per Cron den Server über einen Port Aufrufen wodurch der Server dann weiß die IP in die Whitelist für SSH nehmen.
Mitglied: magicteddy
magicteddy 07.04.2018 um 19:40:35 Uhr
Goto Top
Moin,

und was ist wenn Du die Kisten auf KeyAuth umstellst und ggf. Ausnahmen für vertrauenswürdige interne Netze definierst?
Klar ist Arbeit, aber dann hast Du die Kisten dicht und kannst viele Zugriffsversuche einfach ignorieren.
Notfalls nagelst Du die Kiste mit Fail2Ban noch weiter zu.
Ich habe mich auf KeyAuth und und Mitgliedschaft in der Gruppe SSHUsers beschränkt.

-teddy