Gehackte Server

W

Whistler

Well-Known Member
Das Problem mit Plesk und den unsicheren ProFTP-Paketen in der Defaultinstallation (nicht nur) bei Strato wird im Moment [thread=42022]hier[/thread] und [thread=41997]hier[/thread] schon ausführlich disskutiert.

In letzter Zeit beobachte ich in den (vormals recht homogen verteilten) Angriffen auf meine Systeme (die auch bei Strato stehen) eine deutliche Zunahme von Angriffen aus dem Strato-Netz.

Mal ein paar Beispiele:
08.11.2010 said:
Refused incoming connections:
201.86.93.223 (201.86.93.223): 1 Time(s)
202.78.210.174 (202.78.210.174): 1 Time(s)
219.149.138.230 (219.149.138.230): 1 Time(s)
59.57.253.179 (59.57.253.179): 1 Time(s)
81.210.83.244 (81.210.83.244): 6 Time(s)
85.214.118.11 (omega-webos.com): 128 Time(s)
85.214.126.72 (h1362619.stratoserver.net): 4 Time(s)
85.214.66.247 (h1762528.stratoserver.net): 148 Time(s)
Click to expand...
09.11.2010 said:
Refused incoming connections:
187.112.176.146 (187.112.176.146): 1 Time(s)
200.21.232.166 (200.21.232.166): 2 Time(s)
212.150.123.132 (212.150.123.132): 2 Time(s)
Click to expand...
10.11.2010 said:
Refused incoming connections:
119.226.4.149 (119.226.4.149): 1 Time(s)
119.39.227.196 (119.39.227.196): 1 Time(s)
217.70.39.171 (217.70.39.171): 2 Time(s)
41.251.165.70 (41.251.165.70): 1 Time(s)
85.100.207.2 (85.100.207.2): 1 Time(s)
85.214.66.247 (h1762528.stratoserver.net): 148 Time(s)
Click to expand...
11.11.2010 said:
Refused incoming connections:
202.108.248.174 (202.108.248.174): 1 Time(s)
212.95.104.206 (212.95.104.206): 1 Time(s)
Click to expand...
12.11.2010 said:
Refused incoming connections:
78.101.39.153 (78.101.39.153): 1 Time(s)
85.214.231.230 (h1817697.stratoserver.net): 2 Time(s)
Click to expand...
13.11.2010 said:
Refused incoming connections:
114.80.96.84 (114.80.96.84): 761 Time(s)
122.167.102.173 (122.167.102.173): 1 Time(s)
14.63.192.102 (14.63.192.102): 1 Time(s)
81.169.165.63 (h1601924.stratoserver.net): 6 Time(s)
85.214.115.53 (h1781950.stratoserver.net): 48 Time(s)
85.214.142.49 (h1819712.stratoserver.net): 2 Time(s)
85.214.231.230 (h1817697.stratoserver.net): 6 Time(s)
Click to expand...
14.11.2010 said:
Refused incoming connections:
85.214.115.53 (h1781950.stratoserver.net): 4 Time(s)
85.214.126.72 (h1362619.stratoserver.net): 2 Time(s)
85.214.131.74 (laton-server.org): 5 Time(s)
Click to expand...
Gestern standen das erste Mal nur Strato-Server in der Liste.
Wie die teilweise eingefügten Links auf blocklist.de zeigen, scheinen etliche andere Serverbetreiber ebenfalls das Problem zu haben.

Wie geht Ihr mit sowas um?

Blocken ist klar, ansonsten neige ich eher zum ignorieren.
Bei ausländischen Betreibern bringt eine Abuse-Nachricht i.d.R. wenig - hier ist es aber Deuntschand und sogar der gleiche Anbieter.

Auf alle Fälle bestätigt sich meine (eh schon vorhandene) Meinung, Servern aus dem "heimischen" Subnetz in Firewalls und Blocklisten keinesfalls mehr Freiheiten einzuräumen als x-beliebingen anderen Hosts - eher weniger :)
 
Ich denke mehr als blocken und Strato zu informieren bleibt dir wohl nicht übrig.

Aber auf Basis welcher Informationen blockst du denn die Verbindungen? Bruteforce auf bestimmte Ports?
 
Last edited by a moderator:
Ja klar, zunächst mal das.

Teilweise gehe ich aber inzwischen auch zu statischen Sperrlisten über.
POP3-Abruf aus Brasilien z.B. kommt praktisch nicht vor (und falls doch, muß der Kunde dann halt über ein VPN gehen) - wozu also freigeben.
 
You must log in or register to reply here.
Back
Top