Forum zu schnell

[gst]

meinst du das:?

1.526 Benutzer aktiv in den letzten 15 Minuten: 18 Mitglieder, 0 davon unsichtbar und 1.501 Gäste

[Harry Hirsch]

Aktuell ist es hauptsächlich Amazon, welche extrem agressiv das Forum indizieren. Wohl um ihre KI zu trainieren. Jetzt habe ich einen funktionierenden Filter, welcher den Bot sperrt, aber sobald das passiert spawnen 5 andere. Da Amazon mit seiner Marktmacht quasi das Internet beherrscht ist das möglich.

[nice2hear]

Detlev, hast du den "Dingern" Namen zugeordnet? habe in der GAST Liste eben auch Bingbot u. Applebot gesehen...

Fr. Googel war ja schon immer da..

[Harry Hirsch]

Ja ich habe ein paar der neuen Bots dazugepackt.

[zuendi]

Nur als Hinweis - aktuell ist das OFF bei mir fast off, also es dauert ewig bis eine Seite aufgeht = sehr langsam also. Vielleicht betätigen das noch andere Mitglieder, ansonsten muss ich in den Blödmarkt - 

[Harry Hirsch]

Es gab massive DDOS Angriffe aus China. Dadurch war der Server 100% ausgelastet und dann tot. Habe jetzt großzügig Shanghai geblockt. Meine private IP wurde dann vom Hoster gesperrt, wodurch ich den Server nicht erreichen konnte. Das Internet ist im Arsch.

[gst]

Die Abwehr des Angriffs aus Shanghai hatte aber nichts mit der Sperrung deiner privaten IP zu tun oder doch?

[Piotrek_Z]

Rabiater Vorschlag: Forum nur nach Anmeldung nutzbar.

Es ist ein "very special interest" Forum mit ähm, ja, nun, äh etwas verschrobenen Teilnehmern. Daher sollte das Aussperren von "Zaungästen" nicht wirklich etwas tangieren.

[Pufftrompeter]

Es gab massive DDOS Angriffe aus China. 

Woops? Ist das (i) normal und (ii) mit welchem Zweck sollte das jemand aus China tun? 

Sounds really weird ... auf jeden Fall danke fuer den Einsatz: Wo sonst sollten wir uns gleichermassen ueber die Muetze kloppen?

[HisVoice]

Detlev installiere doch auf dem Server Fail2Ban zB da sollte sich schon vieles erledigen

[Harry Hirsch]

Die Abwehr des Angriffs aus Shanghai hatte aber nichts mit der Sperrung deiner privaten IP zu tun oder doch?

Deswegen habe ich ewig gebraucht das zu erkennen. Der Server war am rödeln und der SSH Dienst abgeschossen. Meine Anmeldeversuche haben dann wohl deren Alarmanlage getriggert.

Es gab massive DDOS Angriffe aus China. 

Woops? Ist das (i) normal und (ii) mit welchem Zweck sollte das jemand aus China tun? 

Gute Frage.

Detlev installiere doch auf dem Server Fail2Ban zB da sollte sich schon vieles erledigen

Ist aktiv, aber die Zugriffe aus China sind nicht von normalen Aufrufen zu unterscheiden.

[Müller]

  Superhirsch hat geregelt. Gut.

[nice2hear]

genau, danke für deinen Einsatz "an der Internetfront"...

[lucifor]

Detlev installiere doch auf dem Server Fail2Ban zB da sollte sich schon vieles erledigen

Ist aktiv, aber die Zugriffe aus China sind nicht von normalen Aufrufen zu unterscheiden.


Hello
Im Sorry, aber das macht man nicht mit Fail2Ban (zumindest nicht auf einfachem Weg)

Sondern per IPTables oder sonst einer hoffentlich installierten Firewall..
Bei IPTables wäre das inetwa so:

# Eingehend aus bestimmten Ländern komplett droppen (China, Russland, NordKorea)
iptables -I INPUT -m geoip --src-cc CN,RU,KP -j DROP

# Ausgehende Verbindungen zu bestimmten Ländern droppen (China, Russland, NordKorea)
iptables -I OUTPUT -m geoip --dst-cc CN,RU,KP -j DROP

# Forwarded Traffic droppen
iptables -I FORWARD -m geoip --src-cc CN,RU,KP -j DROP (China, Russland, NordKorea)

SSH NUR aus DE erlauben zB. so:
iptables -I INPUT -p tcp --dport 22 -m geoip ! --src-cc DE -j DROP

Wobei SSH heutzutage eh nur noch per Key-File ansprechbar sein sollte.

Wenn schon kein SSH-Key, dann SSH inetwa so absichern (damit man sich nicht selber aussperrt, könnte böse enden)
iptables -I INPUT 1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT 2 -i lo -j ACCEPT
iptables -I INPUT 3 -p tcp --dport 22 -m geoip --src-cc DE -j ACCEPT
iptables -I INPUT 4 -p tcp --dport 22 -j DROP

Regelnummern natürlich anpassen, merke:! ERLAUBEN kommt VOR Verweigern, Verweigerungsregeln sind IMMER schwerer bewertet als Erlauben!
Z.B.
Verweigerst du einen Connect, der innerhalb eines Subs liegt, kannst du in der nächsten Regel solange du willst einen Accept auf einen bestimmten Teilbereich erlauben wie du willt, bis du grün wirst, wird aber niemals funktionieren.

[Harry Hirsch]

I'm sorry too but was du mir erklärst ist bekannt. Mit fail2ban werden die Bot Aufrufe limitiert. Natürlich kann ich pauschal die halbe Welt sperren, aber das wäre mir zu einfach. Bei Sachsen und Bayern denke ich drüber nach.