Ausgabe von "lastb" in iptables eingeben

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Noahsraven
Beiträge: 3
Registriert: 16.09.2017 12:06:59

Ausgabe von "lastb" in iptables eingeben

Beitrag von Noahsraven » 16.09.2017 12:18:01

Hi,
habe mir in den letzten Tagen mit dem Befehl lastb die erfolglosen Login-Versuche auf meinem Testserver anzeigen lassen.
Und habe neben IP's (deren Adressbereiche ich bereits in iptables ausgesperrt habe) u.a. folgende Einträge gefunden:

root ssh:notty ppp59-167-130-31 Thu Sep 14 17:37 - 17:37 (00:00)
root ssh:notty ppp59-167-130-31 Thu Sep 14 17:37 - 17:37 (00:00)
root ssh:notty ppp59-167-130-31 Thu Sep 14 17:37 - 17:37 (00:00)
root ssh:notty ppp59-167-130-31 Thu Sep 14 17:37 - 17:37 (00:00)
root ssh:notty ppp59-167-130-31 Thu Sep 14 17:36 - 17:36 (00:00)
root ssh:notty ppp59-167-130-31 Thu Sep 14 17:36 - 17:36 (00:00)
admin ssh:notty ec2-13-54-136-89 Thu Sep 14 16:03 - 16:03 (00:00)
admin ssh:notty ec2-13-54-136-89 Thu Sep 14 16:03 - 16:03 (00:00)
admin ssh:notty ec2-13-54-136-89 Thu Sep 14 16:03 - 16:03 (00:00)
admin ssh:notty ec2-13-54-136-89 Thu Sep 14 16:03 - 16:03 (00:00)
admin ssh:notty business-80-98-9 Thu Sep 14 15:09 - 15:09 (00:00)
admin ssh:notty business-80-98-9 Thu Sep 14 15:09 - 15:09 (00:00)
admin ssh:notty business-80-98-9 Thu Sep 14 15:09 - 15:09 (00:00)
admin ssh:notty business-80-98-9 Thu Sep 14 15:09 - 15:09 (00:00)
pi ssh:notty p579ad59e.dip0.t Fri Sep 15 01:48 - 01:48 (00:00)
pi ssh:notty p579ad59e.dip0.t Fri Sep 15 01:48 - 01:48 (00:00)
pi ssh:notty p579ad59e.dip0.t Fri Sep 15 01:48 - 01:48 (00:00)
pi ssh:notty p579ad59e.dip0.t Fri Sep 15 01:48 - 01:48 (00:00)
pi ssh:notty p4fc0009c.dip0.t Fri Sep 15 00:42 - 00:42 (00:00)
pi ssh:notty p4fc0009c.dip0.t Fri Sep 15 00:42 - 00:42 (00:00)
pi ssh:notty p4fc0009c.dip0.t Fri Sep 15 00:42 - 00:42 (00:00)
pi ssh:notty p4fc0009c.dip0.t Fri Sep 15 00:42 - 00:42 (00:00)

root@testserver:~# host dip0.t
Host p4fc0009c.dip0.t not found: 3(NXDOMAIN)
root@testserver:~# whois dip0.t
Für diese Art von Objekten ist kein Whois-Server bekannt.
root@testserver:~#

Nun sind das keine eindeutigen IP's/Domains deren IP-Adressbereich ich ausfindig machen kann.
Diese Hostnamen(?) einzeln in die iptables einzutragen habe ich mich noch nicht getraut weil Angst habe mir die iptables wegen der Syntax zu zerschießen.
Ausserdem finde ich es mühselig die einzeln einzutragen statt deren ganzen IP-Bereich zu blocken.
Wie kann ich zurückverfolgen aus welchem IP-Bereich diese Hosts kommen?

Danke
Noah's Raven

BenutzerGa4gooPh

Re: Ausgabe von "lastb" in iptables eingeben

Beitrag von BenutzerGa4gooPh » 16.09.2017 18:44:58

Willkommen im Forum!
Da wirst du wohl eine Regel erstellen müssen, die loggt.
Erst kommt deine spezielle Zugangsregel auf Port 22 (SSH) mit permit.
Danach und alles andere (any) auf Port 22 Deny + Log. Somit hat man die Quelladressen. Wird jedoch viel werden.
Debianfail2ban (anklicken, Paket-Beschreibung lesen!) könnte beim automatischen Sperren/Loggen hilfreich sein: viewtopic.php?f=37&t=166805

DeletedUserReAsG

Re: Ausgabe von "lastb" in iptables eingeben

Beitrag von DeletedUserReAsG » 16.09.2017 18:54:20

Code: Alles auswählen

lastb --help

…
 -i, --ip             IP-Nummern in Nummern- und Punktnotation anzeigen
…
rtfm …

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Ausgabe von "lastb" in iptables eingeben

Beitrag von mat6937 » 17.09.2017 10:28:20

Noahsraven hat geschrieben: ↑ zum Beitrag ↑
16.09.2017 12:18:01
pi ssh:notty p579ad59e.dip0.t Fri Sep 15 01:48 - 01:48 (00:00)
pi ssh:notty p579ad59e.dip0.t Fri Sep 15 01:48 - 01:48 (00:00)
pi ssh:notty p579ad59e.dip0.t Fri Sep 15 01:48 - 01:48 (00:00)
pi ssh:notty p579ad59e.dip0.t Fri Sep 15 01:48 - 01:48 (00:00)

root@testserver:~# host dip0.t
Host p4fc0009c.dip0.t not found: 3(NXDOMAIN)
root@testserver:~# whois dip0.t
Für diese Art von Objekten ist kein Whois-Server bekannt.
root@testserver:~#

Nun sind das keine eindeutigen IP's/Domains deren IP-Adressbereich ich ausfindig machen kann.
Deine Ausgabe ist nicht vollständig. Du musst die domain (betr. die Telekom) ergänzen/vervollständigen mit "-ipconnect.de". Z. B. so:

Code: Alles auswählen

:~$ host -t A p4fc0009c.dip0.t-ipconnect.de
p4fc0009c.dip0.t-ipconnect.de has address 79.192.0.156
Das sind evt. externe IP-Adressen (hostnamen) die nur für einen Zeitraum von 24 Stunden zugewiesen sind.

Antworten