Gibt es das schon?
Eine Software die als Honeypot fungiert und so Bots erkennt.
Die IP von den Bots wird an eine Datenbank in einer Cloud übertragen?
Eine IP wird z.B. nach einer Stunde aus der Datenbank gelöscht, damit es keine Probleme gibt.
Die Software liest außerdem die Datenbak aus und erstellt Blockierregeln via Iptables um die Bots fernzuhalten.
Je mehr mitmachen, desto sicherer wird das ganze.
[gelöst] Bots erkennen und blocken?
[gelöst] Bots erkennen und blocken?
Zuletzt geändert von debnuxer am 08.09.2013 23:30:54, insgesamt 2-mal geändert.
Das Leben ist wie ein überdimensionales Schachbrett.
Re: Bots erkennen und blocken?
Das hat mich auf diese Idee gebracht, aber eine Open Source Software wäre sinnvoller als ein Router von der Telekom.
Zuletzt geändert von debnuxer am 08.09.2013 23:04:00, insgesamt 1-mal geändert.
Das Leben ist wie ein überdimensionales Schachbrett.
Re: Bots erkennen und blocken?
Fuer die lokale Installation gibt es 
fail2ban, vermutlich koennte man die Regeln auch sammeln und auf mehreren Maschinen gleichzeitig einsetzen. Es duerfte aber aufwaendig sein, die Regeln fehlerfrei auf ein gemeinsames Vielfache herunterzubrechen, ohne an Praezision zu verlieren.
Gruss Cae
fail2ban, vermutlich koennte man die Regeln auch sammeln und auf mehreren Maschinen gleichzeitig einsetzen. Es duerfte aber aufwaendig sein, die Regeln fehlerfrei auf ein gemeinsames Vielfache herunterzubrechen, ohne an Praezision zu verlieren.Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
Re: Bots erkennen und blocken?
Nicht schlecht, es sollte schon gehen.
Habe z.B. das hier gefunden:
Block known dirty hosts from reaching your machine
wget -qO - http://infiltrated.net/blacklisted |awk '!/#|[a-z]/&&/./{print "iptables -A INPUT -s "$1" -j DROP"}'
Blacklisted is a compiled list of all known dirty hosts (botnets, spammers, bruteforcers, etc.) which is updated on an hourly basis. This command will get the list and create the rules for you, if you want them automatically blocked, append |sh to the end of the command line. It’s a more practical solution to block all and allow in specifics however, there are many who don’t or can’t do this which is where this script will come in handy.
Habe z.B. das hier gefunden:
Block known dirty hosts from reaching your machine
wget -qO - http://infiltrated.net/blacklisted |awk '!/#|[a-z]/&&/./{print "iptables -A INPUT -s "$1" -j DROP"}'
Blacklisted is a compiled list of all known dirty hosts (botnets, spammers, bruteforcers, etc.) which is updated on an hourly basis. This command will get the list and create the rules for you, if you want them automatically blocked, append |sh to the end of the command line. It’s a more practical solution to block all and allow in specifics however, there are many who don’t or can’t do this which is where this script will come in handy.
Zuletzt geändert von debnuxer am 10.09.2013 02:30:29, insgesamt 1-mal geändert.
Das Leben ist wie ein überdimensionales Schachbrett.
Re: [gelöst] Bots erkennen und blocken?
Nunja, ist halt doof, wenn auf der Liste mal 0.0.0.0/0 steht, dann ist die Kiste naemlich offline (und alle anderen Benutzer der Liste ebenfalls). Und mit der Zeit hat man dann kilometerlange (und anti-performante) Regellisten. Aber so im Prinzip koennte man es machen, vielleicht mit ein bisschen mehr Schwarmintelligenz daran, um Fehler zu erkennen. Das System ist halt nur so gut wie die Datenquelle.
Uebrigens ist dein Link kaputt, die Forensoftware hat beschlossen, dass |awk dazu gehoert (was aber der darauf folgende Befehl ist, der in der Shell nicht per Whitespace abgetrennt sein muss).
Gruss Cae
Uebrigens ist dein Link kaputt, die Forensoftware hat beschlossen, dass |awk dazu gehoert (was aber der darauf folgende Befehl ist, der in der Shell nicht per Whitespace abgetrennt sein muss).
Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
Re: [gelöst] Bots erkennen und blocken?
<->Cae hat geschrieben: Und mit der Zeit hat man dann kilometerlange (und anti-performante) Regellisten.
ipsetmfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: [gelöst] Bots erkennen und blocken?
Ah, danke. Sehr vielversprechende Empfehlung.rendegast hat geschrieben:<->Cae hat geschrieben: Und mit der Zeit hat man dann kilometerlange (und anti-performante) Regellisten.
Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
Re: [gelöst] Bots erkennen und blocken?
Oder mit dem recent Modul die Blacklist als Textdatei auswerten.
Dann wird die Blacklist aktualisiert, was mit Cron automatisiert werden kann.
Code: Alles auswählen
# Recent Module laden
modprobe -a ipt_recent xt_recent
# Blacklist erstellen
iptables -A INPUT -m recent --name bots --set
# Anfragen von in der Blacklist vorkommenden IPs verwerfen
iptables -A INPUT -i $PUBLIC_INTERFACE -m recent --name bots --rcheck --seconds 900 -j DROPCode: Alles auswählen
# Die Blacklist leeren
echo / | sudo tee /proc/net/xt_recent/bots
# Die Blacklist neu auffüllen
# Testweise mit dieser Liste: http://infiltrated.net/blacklisted
for x in $(wget -qO - http://infiltrated.net/blacklisted|awk '!/#|[a-z]|0\.0\.0\.0/&&/./{print ""$1""}'); do echo +$x | sudo tee -a /proc/net/xt_recent/bots; doneDas Leben ist wie ein überdimensionales Schachbrett.