Hallo, Am Mon, 08 Mär 2010, Al Bogner schrieb:
Am Montag 08 März 2010 15:37:45 schrieb Axel Birndt:
Lentes, Bernd schrieb:
Al Bogner schrieb:
tcp 0 0 69.197.162.42:1080 82.75.147.76:3687
Also erstens: die Verbindungen auf Port 1080 waren alle im Status SYN, d.h. da kam halt von außen ein Packerl angeflogen, daß bat, doch mal den Port aufzumachen. Das heißt noch lange nicht, daß hinter dem Port auch was erreichbar ist. Am einfachste wäre den Port (bzw. alle außer 22 und 80) von außen per FW dichtzumachen. Und ssh kann man ggfs. auch noch weiter (Quell-IP) einschränken, mit gewissem Risiko bzgl. der eigenen IP (Provider-Pool/feste IP) ;)
Es gibt also keine eindeutigen Beweise, dass der Rechner gehackt wurde?
Nö.
Vieleicht sollte ich "MaxClients 10" etwas erhöhren? Auf wieviel? Es gibt für mehrere Webseiten max. 1000 Besuche pro Tag, meist viel weniger, etwa 200-300.
Kommt auf die Webseiten an. Typischerweise bekommst du die 10 Verbindungen aber je nach Client-Browser (Verbindungs-"Reuse") und Webseitenaufbau (ext./inline CSS, JS, etc. pp.) schon mit 1-2 Abfragen der index.html z.B. "voll". Das MaxClients solltest du IMHO deutlich raufdrehen. 50-150 dürfte sinnvoll sein. 10 ist einfach zu wenig.
Ich habe schon ein paar Chinesen auf meinen Seiten gesehen, die vermutlich ohne böse Absichten auf meinen Seiten waren und meine Fotos anschauten. Grundsätzlich will ich die nicht sperren.
Naja, die Versuche auf :1080 reinzukommen ...
Wer per ssh reinwill, ist sofort blockiert.
Wie kann ich die IP-Adressse bei falschen Loginsversuchen bei Drupal und der Menalto-Gallery sperren?
fail2ban? -dnh -- Demokratie ist die Herrschaft der Unfähigen über die Desinteressierten... -- sinngemäß aus Dorfer's Donnerstalk -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org