Ik mag aannemen dat dit zo'n beetje geldt voor elk land dat
over voldoende breedband dekking beschikt, uniek is deze
'vonds' dus niet.

Wat ik me af vraag is of dat dit verschillende aanvallen van
een uniek IP zijn of gewoonweg cumulatief de aanvallen die
vanaf een uniek IP zijn gedaan. [Als in 3x Apache exploit
test , 5x SSH bruteforce, 7x MySQL scriptkiddo vanaf 1 IP,
maakt 3 aanvallen vanaf één uniek IP, of rekenen ze 3+5+7=15
totale aanvallen van af t IP].

Als ik namelijk naar mijn eigen server kijk, is het aantal
aanvallen vanaf een uniek IP op een uniek doel redelijk
beperkt (gemiddeld 4 SSH bruteforce, 2 Apache script en 1
MySQL danwel 1 SMTP probe/attack per dag).
Ga ik echter de optelsom doen van het aantal pogingen om
bijv. SSH te bruteforcen dan gaat de teller erg snel (als ik
de SSH bruteforce kick regel uit de firewall gooi) dan gaat
het soms om 50 pogingen vanaf een uniek IP. Hetzelfde geldt
voor bijv. Apache, een uniek IP dat een poging doet middels
een script dat 25+ beveiligings gaten test. Op die manier
kom ik makkelijk over de 100 cumulatieve aanvallen per dag.

Wat ik wel cool zou vinden is een lijst met iptables regels,
die stuk voor stuk laat zien welk 'probleem' je daarmee af
kunt handelen.

Want ik zie wel hele iptables configuraties op internet
staan, maar die zijn soms zo slecht van commentaar voorzien,
dat je er niet makkelijk doorheen leest.

Ik wil namelijk ook graag aanvallen op Apache of SSH meteen
bij de deur laten droppen. Maar wel gewoon verkeer door
kunnen laten.

Is er iemand die een mooi rijtje van handige regels heeft
voor iptables?

En ja, ik ken Snort, maar heb geen tijd gehad me door de config te worstelen.

- Unomi -

Voor SSH kun je Fail2Ban gebruiken, na X mislukte
inlogpogingen een ban voor het IP van Y minuten. Werkt voor
mij uitstekend.

url: http://fail2ban.sourceforge.net/wiki/index.php/Main_Page

Voor Apache kun mod_security gebruiken, heb ik geen ervaring
mee.

url:
http://www.gotroot.com/tiki-index.php?page=mod_security+rules

@Gargantua:
Bedankt.

Ik heb wel phreld geinstalleerd, wat ook zoiets zou moeten
doen. Maar daarvan is zo weinig documentatie te vinden (nog).

Ik ga fail2ban eens bekijken.

- Unomi -

Klopt phreld lijkt mij er meer opgericht te zijn om dDOS te
voorkomen en minder om exploits te blokkeren/negeren. Ik
zelf heb phreld inmiddels verwijderdt omdat het eerder tegen
werkte dan mee werkte (kan ook aan mij liggen en inderdaad
documentatie is zeer schaars).

Inmiddels even gezocht en gelezen, op
http://www.howtoforge.com/ onder apache hebben ze een howto
van mod_security staan en wat ik zo snel gelezen heb is het
erg breed inzetbaar (ze geven o.a. een voorbeeld van code
injectie in SQL blocking/filtering). /me heeft vanavond weer
wat te doen ipv voetbal staren op de buis ;)