RootForum Community

Zum hintergrund:

Seit Tagen plagen gewisse Bruteforce Attacken.

Mail und ssh sind am schlimmsten betroffen, Webanwendungen und FTP fallen nicht in diese Statstik, werden jedoch auch massiv belästigt.

Die Frage ist nun, sendet Ihr in diesen Fällen eine abuse Meldung ja oder nein?
Obwohl ich automatisiert Logauszüge etc. per abuse Meldung an die jeweiligen Zuständigen versende, seit Monaten tauchen immer die gleichen IPs mit penetranten Bruteforce Attacken auf.
Die Liste heute ist noch relativ harmlos.
Die übelsten Netze habe ich mitlerweile auch schon geblockt.

Ich persönlich schicke höchstens bei echtem dauerhaften Spam eine Abuse.

Bei Brute-Forces und Webapp-Scans reagiere ich gar nicht mehr, sind zu viele und die ISPs reagieren dabei zu langsam, wenn überhaupt. Läuft bei mir unter Grundrauschen und ist im Traffik, den Systemressourcen und den Konfigurationen vorab berücksichtigt, so dass es mich nicht mehr stört.

Man kann selbstverständlich versuchen, auch die Bruteforces und Webapp-Scans per Abuse (in Englisch!) zu melden, erfahrungsgemäss bringt es aber nur selten etwas, da oft Dialups missbraucht werden und sich die ISPs keine Mühe machen, ihre Kunden zu belästigen.
Wenn es offensichtlich ein regulärer Server ist, dann lohnt sich ein Abuse an den Betreiber und seinen ISP schon eher. Reagiert keiner von Beiden innerhalb von zwei Wochen, dann einen ausführlichen Abuse mit Timeline und Kopien der vorigen Abuses an den Upstream des ISP schicken.
Letzteres sollte man aber wirklich nur im Notfall machen, denn die Upstreams sind eigentlich nicht zuständig.

Bei Angriffen aus den Netzen von Hetzner, Strato & Co. schreibe ich eine Abuse-Meldung; meistens ist der betroffene Host dann auch recht schnell vom Netz.

Ansonsten kann man sich das aber sparen; ich bin ebenfalls dazu übergegangen, zu penetrante Nervensägen per pf auszusperren. Teilweise nutze ich dazu Regeln, die Hammering bestrafen / ausbremsen (wer mehr als 30 SSH-Verbindungen pro Minute aufbaut, bekommt z. B. eine einstündige Zwangspause verordnet). Dabei nutze ich aber keine Tools à là DenyHosts, sondern bleibe bei dem, was sich mit nativen pf-Regeln ohnge großen Aufwand umsetzen lässt.

Für Mails sperre ich händisch Subnetze von allzu penetranten Spammern (meistens irgendwelche Provider in Russland und neuerdings auch in der Karibik). Das aber eher als Untersetzung, einfach nur um die eigentlichen Maildienste zu entlasten und die Logs etwas überschaubarer zu halten.

Ich habe eine vorlgelagerte Firewall, und Droppe die Packete aus den mir wirklich lästigen chinesischen Netzen.

Früher bei Strato waren Attacken innerhalb des Netzes normal. Aber von den üblichen Provider komt seit dem Umzug ins RZ kaum mehr etwas.

Russen und Asiaten sind derzeit das "lästigere" übel.

Bei mir schlagen sämtliche Auswertungen auf, aso auch die "Brutforce" Attacken, die mich bis auf den Mailserver, relativ kalt lassen.

Wie schon gesgt, die Reaktionen durch die jeweiligen Netzeigner abuse Abteilungen sind teilweise nicht existent, Mailboxen überfüllt etc.

Danke für eure Einschätzung und Meinung.

Wie schon gesagt - hängt davon ab. Nach 2-3 Tagen Dauerscan auf irgendwelche URL's melde ich doch etwas an die Abuse Abteilung - wenn es aus dem asiatischen Raum kommt wird ohne Abuse dicht gemacht und auch einigen US Hostern scheint es egal zu sein was die Kunden so treiben.
Selbiges mit SMTP Bruteforce.
Von China ist der Mailverkehr komplett gesperrt, Russland ebenfalls bis auf einige Anbieter (Yahoo, Hotmail, Yandex, Mail.ru) die explizit in der Whitelist stehen.
Mit Spam sehe ich - neben den üblichen Spam aus Asien - eher ein Problem mit Gmail / Yahoo / Hotmail Konten die missbraucht werden. Wird dass zu lästig melde ich es.
Bei dynamischen IP's lasse ich es meist, für 1-2 Tage per PF sperren, dann ist meist Ruhe.