Was macht man, wenn man mit

tail -f /var/log/messages

mitverfolgt, wie jemand eine Brute-Force-Attacke auf den SSH oder FTP Port durchführt? Ganz einfach, man sperrt die IP-Adresse des Angreifers.

Für die folgenden Kommandos wird vorausgesetzt, dass iptables auf dem Server installiert ist. Dies sollte aber meinst sowieso der Fall sein.

Mit folgendem Befehl wird die IP Adresse des Angreifers gesperrt:

iptables -I INPUT -s 207.46.197.32 -j DROP

Wenn man einen ganzer IP-Adressbereich sperren will, verwendet man

iptables -I INPUT -s 207.46.197.0/24 -j DROP

Natürlich muss in beiden Beispielen die richtige IP des Angreifers eingesetzt werden (die man aus den Log-Dateien entnehmen kann)

Die IP ist dann bis zum nächsten Serverneustart gesperrt. Eine dauerhafte Sperre macht meist eh keinen Sinn, da viele Angreifer eine dynamische IP haben.

Will man die Sperre ohne einen Neustart für eine bestimmte IP-Adresse wieder aufheben, funktioniert das so:

iptables -D INPUT -s 207.46.197.32 -j DROP

Es wird also einfach anstatt des Parameters I der Parameter D verwendet.

Hinweis:

Es ist anzuraten, dass man bevor man eine IP-Adresse sperrt, vorher den Hostname zu der IP-Adresse ausgeben lässt. Mit dem ermitteltem Hostnamen kann man dann meist leicht entscheiden, ob man wirklich bedenkenlos die IP-Adresse sperren kann. Mit folgendem Kommando kann man sich den Hostnamen für eine IP-Adresse ausgeben lassen:

host $IP_ADDRESSE

Aktualisiert: