OVH Community, your new community space.

Angriffe von Dfind-Tool abstellen


smoon
10.02.08, 19:48
Hi,

also ich regel das immer ganz einfach:

route add ip.ip.ip.ip reject

Danach is meistens ruhe ... und wenn das ned hilft adde ich auch schonmal nen ganzes /24 ...

Gruesse

smoon

Sturmnacht
10.02.08, 16:13
So unwahrscheinlich is das nich, da scannt n Server schonmal alle hoster in der EU durch, die so gängig bekannt sind..
Ganz einfach durchdenkbar eigentlich

Couchchief
06.02.08, 15:13
*lool* die 89.110.149.127 ist bei mir auch mit bei :-)

Sturmnacht
06.02.08, 01:55
Das is das typische normale "hintergrundrauschen", macht kaum Traffic oder irgendwie sonstige probleme..
Meistens wird nach port 1433 gescannt und da kommste einmal am tag vllt dran.
Is kein Prob, ich kenns selbst.

caraoge
06.02.08, 00:28
Naja, IPs sperren bringt auch nix, da es ja "Mionen" gibt. (Würde Mia von Froop jetzt sagen)

skneo
06.02.08, 00:14
Ich habe die einfach in den apache server eingetragen, gegen die ips die von zu Hause kommen und wechseln kann man eh nicht viel ausrichten. Ausser alles aktuel halten und sql nur lokal und die normalen password richtlinien beachten.
Aber das sind die übel täter die bei mir immer wieder aufgetaucht sind und leider immer noch. Aber eigentlich sollte man nicht viel befürchten wenn man bestimmte tools nicht noch ohne schutz in das standard verzeichnis packt

Deny from 80.254.49.82
Deny from 80.154.33.111
Deny from 74.36.100.94
Deny from 85.114.141.224
Deny from 213.186.59.41
Deny from 87.118.104.210
Deny from 81.169.183.230
Deny from 74.86.100.94
Deny from 87.106.1.2
Deny from 87.230.30.167
Deny from 213.251.170.118
Deny from 87.106.86.6
Deny from 195.189.72.219
Deny from 89.110.149.127
Deny from 213.232.94.99

caraoge
05.02.08, 23:10
DFind sucht zum Beispiel nach einer veralteten Version eines Scriptes wie PHPNuke, Wbb, Joomla, etc
.
Wenn eine veraltete, nicht mehr aktuelle, Installation einer Anwendung gefunden wurde, dann wird irgendwo irgendwer oder irgendwas Benachrichtigt.
Der Benachrichtigte kann nun mittels den Sicherheitslücken die in alten Versionen vorhanden sind z.b. deine Datenbank löschen.

Mit Up2Date wurde nur gemeint, dass du deine Scripte (z.b. Joomla, Wbb, etc) auf dem neuesten Stand halten sollst.

Deine Serversoftware an sich solltest du auch immer auf dem aktuellesten Stand halten. Jedoch sucht DFind nicht nach der Serversoftware sonder nach Scripts wie Joomla, PHPNuke, etc.

Couchchief
05.02.08, 21:43
Naja ok. aber was heist up to date? das einzige was nicht die neuste version ist, ist das php da nutze ich php4 weil eine anwendung von mir nicht mit php5 läuft... ist das sehr gefährlich?

ich seh halt jetzt nichts mehr in den error.log von den ip adressen die von denen der portscan ausging, da ich ja diese eigentlich gesperrt hab, aber versuchen tut ers immer wieder...

kann ich die ipadresse nicht ganz aussperren so dass er gar nicht mehr auf meinen server kommt?

baldi
05.02.08, 21:12
dfind isn portscanner - nicht mehr und nicht weniger.

schwarzlicht
05.02.08, 21:05
Das Tool DFind "greift" nicht an. Wenn Deine Anwendungen UP-TO-DATE sind, brauchst Du auch nix zu befürchten, weil DFind einfach nur nach bekannten Schwachstellen in der Software sucht.

Daniel

Couchchief
05.02.08, 19:29
Tag zusammen,

ich hab heute schon den ganzen Tag Angriffe auf meinen Root von diversen Servern aus. Der erste war in Deutschland von nem Key-Web-Server aus. Da hab ich mich mit Keyweb schon in Verbindung gesetzt. Jetzt kommen die "Angriffe" von Servern aus Ungarn.

So ich hab die IP`s jetzt schon per htaccess und im Apache gesperrt. Aber jedes mal wenn ich eine IP Sperre kommt die nächste. Ich kann mich ja nicht den ganzen Tag vor die Logs hocken und jedes mal die IP sperren.

Gibts ne möglichkeit dass ich Eingriffe von diesem Tool von vorn herein sperre?