Honeypot IP Tables Konfiguration

[Firewire2002]

Schau dir im Script doch mal an wie die Werte für static und drop erzeugt werden.
"static" heißt im übrigen nicht umsonst "static". Wenn sich da permanent was ändert, hast du entweder irgendwo ein Wurm drin oder eine sehr spezielle IPTables Umgebung.

"drop" wird sich für gewöhnlich (wenn überhaupt) nur durch Scripte wie Fail2Ban ändern.

 

[Plumbum]

static ist immer 11 und drop 4 bei mir
das gibt das Script auch aus, aber in munin ist der wert null, wie du meiner Grafik entnehmen kannst

Das verstehe ich ja eben nicht ;-)
Die Werte an sich sind OK

 

[Firewire2002]

Lösch die Bilder und rrd Files von Munin und lass sie neu erzeugen.
Dann solltest da Werte sehen oder einfach warten.

 

[Plumbum]

müsste der nicht alle werte auf einmal im Graphen darstellen und nicht nur einen von drei?

 

[Firewire2002]

Ja, so siehts aus, wenn es richtig funktioniert: Munin :: Eisscholle.net :: Snowball.Eisscholle.net :: IPTables

 

[Plumbum]

Nuja fast hammers ^^
Aber eben ohne static und drop, eigentlich wurscht, aber das warum...

Munin :: localdomain :: localhost.localdomain :: IPTables_new

 

[Plumbum]

Also ich find keinen Fehler, weis der Geier, warum es nicht funktioniert.

 

[Firewire2002]

Munin hat auch sehr schöne Debugging Funktionen. Probiers doch mal damit.

 

[Plumbum]

schon geprüft, ich gebs auf ;-)
Hauptsache ich sehe die aktuellen scans. Der Rest ist eh statisch, insofern wurscht.

Aber nen versuch wars wert. Danke auch für die Unterstützung.

 

[Firewire2002]

So schnell gibst du auf?

 

[Whistler]

static und drop rufen 'iptables -L' auf.

Möglicherweise liegt das ja bei Dir nicht im Pfad des munin-Users oder darf von ihm nicht ausgeführt werden.

Im einfachsten Fall mal den vollen Pfad angeben.

 

[Plumbum]

So schnell gibst du auf?

Bei nicht systemkritischen Dingen und anderweitigen Aufgaben, die ich zur Zeit habe, JA

Die DDoS-Angriffe haben diesen Monat schon zu viel Zeit für das Serverprojekt verbraucht...
Hab ja auch noch nen richtigen Job der mich in Anspruch nimmt und jeden Abend console muss ich dann doch nit haben

@Whistler: da das ganze mit force-root auch nicht klappt, gute frage

 

[Firewire2002]

Wozu solche Statistiken nicht alles gut sein können.
Ob es da wohl einen Zusammenhang gibt.

WinFuture.de - Botnetz-Abschaltung: 100.000 PCs mit Bluescreen

 

[wstuermer]

Hi,

mein Honeypot hatte ja bereits die ganze Zeit über ein etwas anderes Verhalten als Deiner, was wohl an der Anzahl der IP-Adressen liegen dürfte. Den "Absturz" der Zugriffsversuche kann ich aber auch bestätigen.
Eventuell setz ich mich kommende Woche mal mit meiner DB auseinander um zu sehen, von welchen Hosts nun keine Zugriffe mehr erfolgen.


-W

 

[hybrid]

Schade das man so spielchen nicht auch auf einen vServer bei S4Y treiben kann .. :-( Genauso wie TUN/TAP Support wofür ich bereit wäre extra zu zahlen...

 

[djrick]

Naja...Firewire's Rechner scheinen da mehr im Mittelpunkt zu stehen als meine...