Ich lasse meinen Zugangsrouter den Internetverkehr protokollieren.
Der Internetzugang ist nur aktiv, wenn ich ihn brauche, also nur rund 10
Stunden pro Tag.
Weil ich zwischendurch abschalte, habe ich auch wechselnde IP-Adressen,
natürlich aus dem selben Bereich meines Providers htp.
Mir fallen Unmengen kommender Verbindungsversuche auf, die stets auf
hohe Portnummern (fünfstellig) gehen und mein Router diese unterdrückt
(silent deny, keine Antwort).
Wenn ich das sortiere, sind keine üblichen Ports wit htp, rdp, telnet
oder vnc dabei.
Das beginnt am 27. Dezember 2021 und sind bis jetzt 45000 Versuche!
Auffällig ist auch, dass der Quellport über mehrere Tage immer die selbe
Nummer hat.
Die Quelle 185.156.73.23 soll in Amsterdam stehen und einem Russen
gehören.
Hat jemand ähnliche Auffälligkeiten und eine Idee, was der Drecksack
will?
alopecosa schrieb:> Willkommen im Internet.
Jau. Habe hier übers Jahr gesehen einige hundert Betrugsversuche per
E-Mail, neuerdings auch Drohungen und Erpressungsversuche. Die
Empfehlung von allen Seiten: Weglächeln.
Willkommen in der großartigen Welt der Digitalisierung und
Globalisierung.
Manfred schrieb:> Hat jemand ähnliche Auffälligkeiten und eine Idee, was der Drecksack> will?
Ja, sein Hobby sind Portscans bei dir und vielen anderen:
https://www.abuseipdb.com/check/185.156.73.23?page=1
Wahrscheinlich gehört der Rechner in der Domain ngs.ru noch nicht mal
ihm..
Immer lächeln schrieb:> Empfehlung von allen Seiten: Weglächeln.
Etwas anderes als lachen kann man auch nicht, bei dem was die Spammer so
abliefern. Auch wenn es immernoch genug Dumme gibt die darauf
hereinfallen.
bot4rent schrieb:> 45000 Anfragen in ein paar Wochen? Das ist normales Hintergrundrauschen.
Das ist es in diesem Fall eben nicht.
Du hast versucht, meinen Text zu verstehen? Diese Anfragen kommen alle
von der selben Quelle mit tagelang der selben Portnummer, das liegt
abseits des üblichen Rauschens.
Schukostecker schrieb:> Ja, sein Hobby sind Portscans bei dir und vielen anderen:>> https://www.abuseipdb.com/check/185.156.73.23?page=1
Ah ja, da ist er schon seit Februar 2021 bekannt, danke.
> Wahrscheinlich gehört der Rechner in der Domain ngs.ru noch nicht mal> ihm..
... und reagiert natürlich nicht auf abuse-requests.
Manfred schrieb:> Die Quelle 185.156.73.23 soll in Amsterdam stehen und einem Russen> gehören.>> Hat jemand ähnliche Auffälligkeiten und eine Idee, was der Drecksack> will?
Typischer Traffic aus Russland, die lassen permanent Portscans laufen,
um offene Proxies, exotische SSH-Ports etc. zu finden.
Habe gerade mal tcpdump angeworfen, direkt das zweite Paket kam aus dem
von Dir genannten Netz (185.156.73.19).
Falls Du von aussen erreichbare Services laufen hast, solltest Du solche
Netze einfach komplett sperren.
Manfred schrieb:> Diese Anfragen kommen alle> von der selben Quelle mit tagelang der selben Portnummer, das liegt> abseits des üblichen Rauschens.
Nur weil du dieses Rauschen noch nicht gehört hast, heisst das gar
nichts.
Die IP du du genannt hast, finde ich auf 3 verschiedenen Servern in den
Logs. Die Server haben nichts miteinander zu tun (IP, Domain etc
verschieden) und werden ausschliesslich über SSH bedient. Keine
Web-Services oder ähnliches.
Die IP versucht es immer wieder. Entweder weil meine IPs in
irgendwelchen Listen stehen oder es wird blind durchprobiert.
Google: Botnetz
Ja, das ist Hintergrundrauschen. In 4 Wochen taucht diese IP fast
100.000 mal in den logs auf.
> Diese Anfragen kommen alle von der selben Quelle mit tagelang der selben
Portnummer
Früher konnten nur kompetente Hacker Botnetze programmieren. Heutzutage
kann jede Knalltüte einen Virenbaukasten kaufen. Und irgend was zusammen
klicken. Da kommt halt so was bei raus.
Manfred schrieb:> Die Quelle 185.156.73.23
Hab eben mal im Router geschaut, die .25 und .19 taucht da auch
massenweise auf. Danke für die Info, landet im Killfile.
> Danke für die Info, landet im Killfile
Bringt nichts außer Probleme wenn sich die IP ändert oder doch mal
irgendwann zufällig ein nützlicher Dienst über diese IP laufen sollte.
Ich mache mir solchen Aufwand schon lange nicht mehr, bzw. wenn banning,
dann temporär 24..48 Stunden lang. Ansonsten probiert man am besten,
seine Server so unattraktiv und uninteressant wie möglich aussehen zu
lassen. Alles andere erregt nur die Aufmerksamkeit des Angreifers und
genau die will man nicht.
Manfred schrieb:> Das beginnt am 27. Dezember 2021 und sind bis jetzt 45000 Versuche!
Also etwa 11 Tage. Ein Tag hat 86400 Sekunden, 11 Tage entsprechend also
950400 Sekunden.
Bei 45000 verworfenen Pakete sind das etwa alle 20 Sekunden ein Paket.
Willkommen im Internet! Wo ist das Problem?
Bandbreite?
Ein TCP-Syn ist inkl. IP 40 Bytes groß. D.h. alle 20 Sekunden 40
unerwünschte Bytes ergibt wahnsinnige 2 Bytes pro Sekunde bzw. 16 Bits
pro Sekunde.
Wie schnell ist Dein Internet? 50 MBit?
Davon 16 Bits/s sind gerade mal: 0,00000032
Um einen Bezug zur Elektronik herzustellen, würde dafür ein Messgerät
mit 6 1/2 Stellen nicht ausreichen, und bei einem Messgerät mit 7 1/2
Stellen wären das gerade mal die letzte Stelle.
Ja, das ist völlig unerheblich und ist Rauschen!
185.156.73.xx scheint zu brummen..
vorhin wars
185.156.73.19
dann die (meine) IP gewechselt zack stand der vor der Tuer.
185.156.73.65
wohl aus dem gleichen Stall
xxtables -I INPUT -i iface -p tcp --syn -j DROP ;)
wenn man ldgl. surft
Da wuerde ich eher mal ein netcat auf dem Port lauschen lassen,
um mal zu sehen was der ueberhaupt will :).
Frueher war es immer lustig, per Portforward den
"Subseven"-Scannern mal eine VM zum Spielen zu geben.
So landeten dann lustigerweise FTP-Zugriffe nicht auf der VM,
sondern auf dem richtigen FTP-Server.
cd C:\
C:\ not found
Har har haaar.
Mann konnte schon Spass haben.
Manfred schrieb:> Mir fallen Unmengen kommender Verbindungsversuche auf
Als man noch per Modem ins Internet ging und nach Minuten bezahlen
musste, waren diese Anfragen sogar richtig teuer.
Du kannst nichts dagegen tun. Blockieren ändert nichts daran, dass die
Anfragen ständig kommen.
Treibsand schrieb:> Die Scanner kann man beschäftigen und Ressourcen auf denen> verbrauchen
Wozu soll das gut sein? Damit vergeudet man teure Energie, nur um den
anderen dazu zu bringen, ebenfalls Energie zu verschwenden.
Im Gegensatz zu gegenseitiger Waffengewalt im Krieg ist hier allerdings
die Aussicht auf einen möglichen Sieg annähernd 0 Prozent.
Na wie gesagt, man macht seine Server damit für den Angreifer
interessanter. Der wird sich fragen wieso die Kiste überhaupt auf seine
Anfragen reagiert, warum man sich die Mühe gemacht hat, damit das Ding
auf seine Anfragen reagiert und was man da tolles hat, was diese Mühe
wert ist. Als Ergebnis davon wird der öfter zum Spielen vorbeikommen.
Beim Zurückschießen sollte man auch beachten, daß die ankommenden
IP-Adressen gefälscht sein könnten und man evtl. das falsche Ziel
trifft. Angenommen eine IP scant bei mir irgendwelche Ports und ich sag
mir na dem werd ich erstmal ordentlich eins reinwürgen und fahre z.B.
eine DDOS-Attacke mit meinem Serverpark gegen diese IP, treffe ich den
Scanner vielleicht sogar - aber auch alles andere, was unter dieser IP
evtl. noch so erreichbar ist oder auf dem angegriffenen Server oder
Servern gehostet wird. Damit kann man sich schnell die Finger
verbrennen, weil man dann auf Seite des Ziels auch nur ein Angreifer ist
und bei denen Schaden macht, der evtl. rechtliche Folgen bekommt.
Ben B. schrieb:> Beim Zurückschießen sollte man auch beachten, daß die ankommenden> IP-Adressen gefälscht sein könnten und man evtl. das falsche Ziel> trifft.
Es geht hier um TCP.
> Angenommen eine IP scant bei mir irgendwelche Ports und ich sag> mir na dem werd ich erstmal ordentlich eins reinwürgen und fahre z.B.> eine DDOS-Attacke mit meinem Serverpark gegen diese IP, treffe ich den> Scanner vielleicht sogar - aber auch alles andere, was unter dieser IP> evtl. noch so erreichbar ist oder auf dem angegriffenen Server oder> Servern gehostet wird. Damit kann man sich schnell die Finger> verbrennen, weil man dann auf Seite des Ziels auch nur ein Angreifer ist> und bei denen Schaden macht, der evtl. rechtliche Folgen bekommt.
Hast du den Artikel gelesen und verstanden?
Stefan ⛄ F. schrieb:> Als man noch per Modem ins Internet ging und nach Minuten bezahlen> musste, waren diese Anfragen sogar richtig teuer.
Wieviel hast du denn pro eingehender Anfrage bezahlt?
Ben B. schrieb:> Beim Zurückschießen sollte man auch beachten, daß die ankommenden> IP-Adressen gefälscht sein könnten
Wie soll mit einer gefälschten IP ein TCP Handshake zustandekommen?
Gefälschte Absender IPs werden höchstens für DDoS verwendet. Das
effektive Opfer wird so mit Traffic geflutet.
Man mache eine kleine DNS Abfrage auf tausende Server, diese antworten
dann mit grösseren Paketen auf die Anfrage und blockieren so die
Internetanbindung des Opfers.
https://de.m.wikipedia.org/wiki/DNS_Amplification_Attack
meckerziege schrieb:> Wieviel hast du denn pro eingehender Anfrage bezahlt?
Falsche Frage. Die richtige frage lautet: Wie stark haben diese Anfragen
deine Internet Kommunikation ausgebremst?.
Nun, das ist lange her, ich weiß es nicht mehr.
Stefan ⛄ F. schrieb:> Wozu soll das gut sein? Damit vergeudet man teure Energie, nur um den> anderen dazu zu bringen, ebenfalls Energie zu verschwenden.
Ein einziges Paket zurückschicken und keinen State dafür zu halten, und
den "Angreifer" dadurch zu verlangsamen dürfte eher Energie sparen.
Manfred schrieb:> Mir fallen Unmengen kommender Verbindungsversuche auf, die stets auf> hohe Portnummern (fünfstellig) gehen und mein Router diese unterdrückt> (silent deny, keine Antwort).
Unklug. Dann geht das Gegenüber davon aus, daß das Paket verloren
gegangen ist, und versucht es nochmal. Intelligenter wäre es, dem
Gegenüber mit einem RST zu sagen, daß dort nichts lauscht, und ihm zu
erklären, daß er dort nichts zu suchen hat, da bietet sich ICMP Typ 3
"Destination Unreachable" etwa mit den Codes 9, 10, oder 13 an.
Ben B. schrieb:> Ansonsten probiert man am besten,> seine Server so unattraktiv und uninteressant wie möglich aussehen zu> lassen. Alles andere erregt nur die Aufmerksamkeit des Angreifers und> genau die will man nicht.
Bei mir ist nur SSH offen, alles andere wird bei Bedarf dadurch
getunnelt oder kurz händisch angeworfen (mit automatischem kill durch
at)
Stefan ⛄ F. schrieb:> Damit vergeudet man teure Energie, nur um den> anderen dazu zu bringen, ebenfalls Energie zu verschwenden.
Das ist ungefähr so, wie Kühlschrank offen lassen beim Brot schmieren
oder Licht im Flur die ganze Nacht an.
Den "Komfort" kann man sich schon irgendwie leisten, aber da wir alle
solche Marotten haben, geht das letztendlich ganz schön auf die Umwelt.
Ich will nicht wissen, wieviele Natur durch Adblock gerettet würde, wenn
sich endlich jeder Adblock zulegen würde.
Der ganze Strom, der da verblasen wird, sobald Werbung aufgeht...
Mein Uralt-Laptop wirft den Lüfter an, wenn ich kino.to ohne Adblock
aufrufe. Nur die Startseite...
Nur_ein_Typ schrieb:> Unklug. Dann geht das Gegenüber davon aus, daß das Paket verloren> gegangen ist, und versucht es nochmal.
Die meisten der Portscanner versuchen es exakt 1x pro Port. Die nutzen
nicht connect(), sondern Raw Sockets.
Hmmm schrieb:> Die meisten der Portscanner versuchen es exakt 1x pro Port. Die nutzen> nicht connect(), sondern Raw Sockets.
Und wenn der Portscanner die Teergrube gefunden hat, kommt der mit mit
connect() an und hängt dann in der Teergrube.
Treibsand schrieb:> Und wenn der Portscanner die Teergrube gefunden hat, kommt der mit mit> connect() an und hängt dann in der Teergrube.
Früher (tm + und erst 3 Jahre her) hiess das noch honeypot. Wer steigt
denn freiwillig in Teer, wenn er Honig schlecken kann?
Treibsand schrieb:> Und wenn der Portscanner die Teergrube gefunden hat, kommt der mit mit> connect() an und hängt dann in der Teergrube.
Da kann allerdings je nach Angreifer etwas Traffic entstehen. Ich habe
mal eine VoIP-Brute-Force-Attacke (SIP over TCP) auf diese Art und Weise
ausgebremst, das Resultat waren etliche 1000 "bestehende" Connections,
für die ACKs rein- und rausgingen.
Ida O. schrieb:> Früher (tm + und erst 3 Jahre her) hiess das noch honeypot. Wer steigt> denn freiwillig in Teer, wenn er Honig schlecken kann?
Honeypots und Tarpits sind nicht dasselbe.
Hmmm schrieb:> Treibsand schrieb:>> Und wenn der Portscanner die Teergrube gefunden hat, kommt der mit mit>> connect() an und hängt dann in der Teergrube.>> Da kann allerdings je nach Angreifer etwas Traffic entstehen. Ich habe> mal eine VoIP-Brute-Force-Attacke (SIP over TCP) auf diese Art und Weise> ausgebremst, das Resultat waren etliche 1000 "bestehende" Connections,> für die ACKs rein- und rausgingen.
Was genau war der Zweck dieses "ausbremsens" und was genau hast du damit
erreicht?
Mombert H. schrieb:> Was genau war der Zweck dieses "ausbremsens" und was genau hast du damit> erreicht?
Primär ging es darum, dass die Telefonanlage weniger damit zu tun hat,
laufend unzählige Login-Versuche zu bearbeiten und zu loggen.
Der Nebeneffekt der Tarpit-Lösung war, dass beim Angreifer Ressourcen
(etliche 1000 Sockets) verbraucht wurden, die er nicht mehr gegen echte
Ziele einsetzen konnte.
Ida O. schrieb:> Früher (tm + und erst 3 Jahre her) hiess das noch honeypot. Wer steigt> denn freiwillig in Teer, wenn er Honig schlecken kann?
Nein, das sind zwei verschiedene Dinge.
Ein Honeypot ist ein Server, an welchem sich der Angreifer schön
austoben kann.
Tarpitting ist eine Methode, wo der Handshake künstlich verzögert wird
um dem Angreifer möglichst viele Ressourcen für weitere Scans zu
blockieren.
Vor allem ist ein Honeypot ein Server, der keine regulären Zugriffswege
(wie z.B. externe Verlinkungen) besitzt. Somit kann man jeden Zugriff
darauf bereits als Angriff deklarieren.
Hmmm schrieb:> Mombert H. schrieb:>> Was genau war der Zweck dieses "ausbremsens" und was genau hast du damit>> erreicht?>> Primär ging es darum, dass die Telefonanlage weniger damit zu tun hat,> laufend unzählige Login-Versuche zu bearbeiten und zu loggen.
In der Hoffnung, dass dein Tarpit effizienter damit umgehen kann als die
Telefonanlage? Effizienter wäre da vermutlich ne Firewall.
> Der Nebeneffekt der Tarpit-Lösung war, dass beim Angreifer Ressourcen> (etliche 1000 Sockets) verbraucht wurden, die er nicht mehr gegen echte> Ziele einsetzen konnte.
Dafür musst du auch tausende Sockets "verbauchen". Das hört sich nach
keinem guten Tausch an ;-)
Mombert H. schrieb:> In der Hoffnung, dass dein Tarpit effizienter damit umgehen kann als die> Telefonanlage? Effizienter wäre da vermutlich ne Firewall.
Der Tarpit war ein Firewall-Feature.
Mombert H. schrieb:> Dafür musst du auch tausende Sockets "verbauchen". Das hört sich nach> keinem guten Tausch an ;-)
Nein, ich muss nur auf SYNs mit einem SYN/ACK antworten und ansonsten
alles brav mit ACK bestätigen. Das geht komplett stateless, während der
Angreifer glaubt, eine funktionierende TCP-Connection zu haben und bloss
keine Antworten zu bekommen.
Der hat Resourcen,
heute morgen mal -für eine Minute- den Vorhang gelupft;
journalctl -S "03:00:00" |grep 85.156.73 |cut -b
-15,28-36,99-117,184-206
Jan 07 03:01:50: DROPPED SRC=185.156.73.65 TCP SPT=55875 DPT=8660
Jan 07 03:01:52: DROPPED SRC=185.156.73.65 TCP SPT=55875 DPT=31988
Jan 07 03:01:54: DROPPED SRC=185.156.73.65 TCP SPT=55875 DPT=8660
Jan 07 03:01:56: DROPPED SRC=185.156.73.65 TCP SPT=55875 DPT=31988
Jan 07 03:01:59: DROPPED SRC=185.156.73.65 TCP SPT=55875 DPT=8660
Jan 07 03:02:03: DROPPED SRC=185.156.73.65 TCP SPT=55875 DPT=8660
Jan 07 03:02:41: DROPPED SRC=185.156.73.65 TCP SPT=55875 DPT=29338
Jan 07 03:02:45: DROPPED SRC=185.156.73.65 TCP SPT=55875 DPT=29338
Jan 07 03:02:49: DROPPED SRC=185.156.73.65 TCP SPT=55875 DPT=29338
Jan 07 03:02:54: DROPPED SRC=185.156.73.65 TCP SPT=55875 DPT=29338
vorher wars 185.156.73.19, aktuell 185.156.73.27
von Manfred (Gast)
>>>denied incoming session 89.1xx.yyy.140:33444 <- 185.156.73.23:55875
Hat jemand ähnliche Auffälligkeiten und eine Idee, was der xxxx will?
Vladimir, Computin' ;)
Der kriegt kein handshake, wozu mit dem Mist sich die logs zustopfen.
Hmmm schrieb:> Nur_ein_Typ schrieb:>> Unklug. Dann geht das Gegenüber davon aus, daß das Paket verloren>> gegangen ist, und versucht es nochmal.>> Die meisten der Portscanner versuchen es exakt 1x pro Port. Die nutzen> nicht connect(), sondern Raw Sockets.
Wenn es denn ein Portscanner ist... aber der merkt eh, daß da jemand
aktiv blockiert.
Ida O. schrieb:> Treibsand schrieb:>> Und wenn der Portscanner die Teergrube gefunden hat, kommt der mit mit>> connect() an und hängt dann in der Teergrube.>> Früher (tm + und erst 3 Jahre her) hiess das noch honeypot. Wer steigt> denn freiwillig in Teer, wenn er Honig schlecken kann?
Unterschiedliche Konzepte. Ein Honeypot (Honigtopf) dient dazu,
Angreifer anzulocken, um ihr Verhalten zu studieren und eventuelle
Gegenmaßnahmen einzuleiten. Eine Tarpit (Teergrube) hingegen soll
Angreifer anlocken und möglichst lange beschäftigen, um so die
Ressourcen des Angreifers zu erschöpfen.
ned stark schrieb:> Hat jemand ähnliche Auffälligkeiten
Ja, dieses /24 gehört zu den auffälligsten Russen-Netzen.
ned stark schrieb:> und eine Idee, was der xxxx will?
Als er mir zum letzten Mal ausserhalb der Firewall-Logs begegnet ist,
suchte er nach offenen Proxies:
"GET http://185.156.73.91:443/ HTTP/1.1"
"CONNECT 185.156.73.91:443 HTTP/1.1"
Nur_ein_Typ schrieb:> Wenn es denn ein Portscanner ist... aber der merkt eh, daß da jemand> aktiv blockiert.
Sofern man auf nichts (auch nicht auf ICMP) antwortet, nicht. Allerdings
interessiert das diese Scanner nicht, die probieren einfach weiter.
Nur wenn sie etwas gefunden haben, merken sie sich das sehr gut. Ich
hatte auch nach Monaten noch Verbindungsversuche (ernsthafte, nicht nur
einzelne SYNs) auf einem vorübergehend für SSH genutzten Port.
Hmmm schrieb:> Typischer Traffic aus Russland, die lassen permanent Portscans laufen,> um offene Proxies, exotische SSH-Ports etc. zu finden.
Genau das irritiert mich, der versucht keine üblichen Ports, sondern
fast nur hohe Hausnummern.
> Falls Du von aussen erreichbare Services laufen hast, solltest Du solche> Netze einfach komplett sperren.
Als Heimwerker habe ich keine nach extern offenen Dienste.
Offen ist der Port 5060 für SIP-Telefonie, alles andere ist dicht -
bestätigt mir ShieldUp von https://www.grc.com/x/ne.dll?bh0bkyd2Keiler schrieb:> Nur weil du dieses Rauschen noch nicht gehört hast, heisst das gar> nichts.
Nee, natürlich laufen hier jede Menge Verbindungsversuche ein, aber
nicht zu tausenden vom selben Server .
> Die IP du du genannt hast, finde ich auf 3 verschiedenen Servern in den> Logs. Die Server haben nichts miteinander zu tun (IP, Domain etc> verschieden)
Danke, also nicht gezielt auf meinen, eher kleinen Provider.
Andre schrieb:>> Die Quelle 185.156.73.23> Hab eben mal im Router geschaut, die .25 und .19 taucht da auch> massenweise auf. Danke für die Info, landet im Killfile.
Ich habe alte Logfiles ab Okt. 2020 ausgepackt, da fällt 185.156.73.xxx
erstmals am 06.10.2020 auf, noch mit unauffällig geringer Anzahl. Man
hat offenbar aufgerüstet, ein paar Monate später wurden es erheblich
mehr.
Die letzten Tage ist es wirklich penetrant immer der selbe,
185.156.73.23:55875
Jan schrieb:> Einer der Gründe, warum heutzutage DENY die default policy ist und nicht> mehr REJECT.
Wie jetzt - Silent deny, also keine Antwort, ist hier seit Jahren
konfiguriert.
Einer schrieb:> Also etwa 11 Tage. Ein Tag hat 86400 Sekunden, 11 Tage entsprechend also> 950400 Sekunden.> Bei 45000 verworfenen Pakete sind das etwa alle 20 Sekunden ein Paket.
Es ist alle 8..9 Selunden, wenn Du meinen Eröffnungstext liest. Egal,
die Nutzung der Netzes verhindet das nicht.
Cartman schrieb:> Da wuerde ich eher mal ein netcat auf dem Port lauschen lassen,> um mal zu sehen was der ueberhaupt will :).
Das Ergebnis interessiert mich, hier liefert der Zugangsrouter die
Abweisungen per Syslog, an Details kmme ich nicht dran.
Stefan ⛄ F. schrieb:> Als man noch per Modem ins Internet ging und nach Minuten bezahlen> musste, waren diese Anfragen sogar richtig teuer.
Na endlich ist der Stefan auch da, das hat ja lange gedauert. In einem
anderen Thread wirfst Du einem Jemandem vor, unbedingt etwas schreiben
zu wollen, könntest Du das auch auf Dich selbst anwenden?
Nur_ein_Typ schrieb:>> (silent deny, keine Antwort).> Unklug. Dann geht das Gegenüber davon aus, daß das Paket verloren> gegangen ist, und versucht es nochmal.
Wenn er denn intelligent scannt. Aber Du könntest sogar Recht haben,
diverse Versuche, nicht alle, erfolgen viermal nacheinander. Ich stelle
das mal temporär auf reject.
-- Ist jetzt seit ein paar Minuten umgestellt, ändert nichts an
Widerholungen gegen die jeweils selbe Hausnummer. --
ned stark schrieb:> heute morgen mal -für eine Minute- den Vorhang gelupft;> Jan 07 03:01:50: DROPPED SRC=185.156.73.65 TCP SPT=55875
Bei Dir auch quasi statisch immer SPT=55875.
> wozu mit dem Mist sich die logs zustopfen.
Das kann ich nicht ändern, kommt so aus dem be.IP plus.
Hmmm schrieb:> Sofern man auf nichts (auch nicht auf ICMP) antwortet, nicht. Allerdings> interessiert das diese Scanner nicht, die probieren einfach weiter.
So sieht das hier aus, refuse anstatt deny ändert nichts.