Jetzt bin ich bald 50 Jahre und ich finde diese Videos halten fit im Kopp.

3:06 den Satz hatte ich im Kopf schon beendet mit „... ganz ähnlich wie meine Kollegen.“ und mich dann doch sehr gewundert, dass ich falsch lag.

Bei 30MB in 80 Tagen sind die 5GB schon in etwas mehr als 35 Jahren erreicht!

Wenn man wissen will, wie viele Clients grad im Tarpit feststecken, kann man "ss -4 -t" benutzen und nach dem spezifizierten port sortieren

"...nur ganz kurz gezeigt..."

Tarpit ist irgendwie gemein. Ich bin mehr für "Teeren und Federn" von Bösewichten.

nur mal so ne frage.... hattest du das thema Tarpit nicht schon mal vor 1 2 3 4 jahren gehabt? Bezüglich proxmox... Der container selber reicht eigentlich wenn der mit 1GB festplatte und 512mb ram (theoretisch sogar nur 128mb) daher kommt... für die logdaten würd ich in den container ein zfs dataset mit rein mounten. Setzt natürlich voraus das zfs installiert ist bzw extra platten mit angeschlossen sind auf denen ein zfs dateisystem läuft.... in meinem fall sieht das ganze etwa so aus: System: 120GB SSD -> proxmox mit zfs + alle container (hab aktuell 8 container + 2 vms laufen und hab immer noch 80gb frei) Storage: 3x 4TB HDD im RaidZ1 als redundanten datenspeicher (zpool name raid) Backup: 1x 8TB USB3 HDD ebenfalls mit ZFS als backup storage auf dem pool raid einfach einige datasets anlegen: zfs create raid/pve zfs create raid/pve/lxc zfs create raid/pve/lxc/cTarpit jetzt noch ein quota setzten (die speichergröße also festlegen wie viel maximal an daten in das dataset darf) zfs set quota=5G raid/pve/lxc/cTarpit Im Container selber ein neues Verzeichnis anlegen: mkdir /mnt/tarpit anschließend auf dem proxmox host mit einem editor /etc/pve/lxe/XXX.conf (XXX ist die containeriD von dem Container) öffnen und folgende zeile einfügen: mp0:/raid/pve/lxc/cTarpit,mp=/mnt/tarpit Container stoppen Kurz ein backup vom container machen, das backup direkt zurückspielen ABER drauf achten das als Container typ Privigeliert ausgewählt ist, sonst kann der container die daten nicht mounten. Container starten.... Zack, läuft.... Hat eben den vorteil das man über zb. einem anderen container einen Fileserver bereitstellen könnte, mit dem man direkt auf genau diese daten zugreifen kann.... auch interessant für die NextCloud geschichte.... Auch mein plex server mountet so die daten aus dem raid... allerdings bekommt der plex die daten nur als ReadOnly filesystem.... nicht das jemand ausversehen was löscht.... hat insgesamt eben den vorteil, das man mittels zfsnap2 + cron regelmäßig snapshots der datasets machen kann.... Soll dann doch der cryptotrojaner zuschlagen.... durch die zfs snapshots sind meine daten dahingehend auf jedenfall gesichert....

für den ganzen "spaß" werden dementsprechend Miningrigs mitunter genutzt

Könntet ihr bitte noch ein Video über Smartphone Sicherheit machen ? Ich wäre euch echt dankbar falls ihr dafür Zeit habt !

Ganz kurz, 22 min? 😂🤣

Was ist denn jetzt eigentlich aus unserer „schönen“ Zensurmaschine geworden wo alle großen Kabelanbieter jede Webseite sperren können ? Läuft das jetzt ruhig weiter und Keinen interessiert es mehr ?

Wenn man nicht mehr in den Container kommt, weil man das Root-Passwort des Containers vergessen hat, kann man auch immer via "pct enter " sich als Root ne shell spawnen (via der Proxmox-Shell, nicht Container-Shell). Zudem kann man auch einfach den Root User deaktivieren, weil man via PCT ja dennoch rein kommt. also einfach als SSH root reaktivieren. bzgl. crontab... man kann auch das "su pi" weg lassen, wenn man crontab so startet: "crontab -e -u pi" - Bearbeiten vom Crontab des users PI.

Bei den regelmäßigen Srcen dürften dann auch shodan, censys, cyberscan usw. dabei sein.

Schon sehr interessant. Wäre es auch möglich, aufzuzeigen, wie man einen SSH-Honeypot aufsetzt und den dann konfiguriert, bzw. die Logdateien auswertet…

"Da rennt einer dauernd vor die Wand und ist zu blöd das zu schnallen!" Bester Spruch! Kommt natürlich nicht gegen das markante "OK" am Ende an!

die 320 übrigen die nicht disconnectet wurden, sind sicher beim täglichen ip-wechsel verschollen gegangen.

Könnte man die Flitzpiepen viel länger bei der Stange halten, wenn man es nicht ganz so sehr verlangsamt? Wenn man denen jetzt nach 9 Sekunden eine Passworteingabe erlaubt, und dann wieder 9 Sekunden... bis die durch ihre Bruteforce-Liste durch sind, kleben die dann viel länger fest, ohne dass die Bots abbrechen. Oder was übersehe ich hier? Ein sicheres eigenes Passwort natürlich vorausgesetzt.

Wäre es nicht Sinnvoller, den Crontab als user "pi" zu editieren? Also "crontab -e -u pi". Aber so gehts natürlich auch. :)

Danke für die mühe nach dem Stream noch so ein Video zu Produzieren

Hatte immer gedacht dass man einen Docker Container irgendwie erstellen und kompilieren muss aber offenbar kann man ihn auch direkt konfigurieren wenn man eingeloggt ist..... fehlt da nicht der Vorteil dass man essen mit einem Mausklick zurücksetzen kann? Weil das Repository der docker-container enthält dann nicht die Einstellungen die du machen musstest

Bei mir wird das ganze von der Firewall geblockt und das ganze in Grafana dargestellt

Der Titel lässt nichts von proxmox vermuten.

Und das nur auf einem Port. Damit kann man Kunden die sich in falscher Sicherheit fühlen zeigen was ohne eigenes Wissen auf der Firewall los ist...

Ich hätte das hübsch als systemd-Unit gemacht, dann läuft das ordentlich als ein Service und systemd kümmert sich auch um Neustarten und so

hmm, warum machst du whois über google und nicht direkt auf der bash?

wie konfiguriert man das logfile? Wird das autoamtisch geschrieben oder muss man den Befehl mit > erweitern?

Hallo, 4:00, in der ssh config kann man angeben, ob root uberhaupt per ssh zugreifen darf. Ein Passwort wird nach Eingabe von root trotzdem erfragt. Von daher könnte man das für die teergrube doch auch so machen, dass eh alle ausgeschlossen sind per ssh. Ein login kann man, wenn man es unbedingt braucht, auch in die weise liste eintragen, und dann, nachdem man sich als user per ssh eingeloggt hat, per “su -“ zum root machen. Edit: Den Benutzernamen muss man ja auch erst mal wissen, um per ssh reinkommen zu können. LG juck.

Gibt es eigentlich noch diese Steam IT video stream platform?

Muss man den Port für ssh auch ändern? Wie kann ich überprüfen ob die Grube funktioniert? Wenn ich per ssh drauf will, unterbricht die Verbindung innert Sekunden mit Putty

Nur ganz kurz gezeigt Video 22 Minuten ok

Hatte mir auch ein tarpit zu Hause im Container aufgesetzt. Nach einer Woche ohne eine einzige Fliege, die im Netz kleben geblieben ist, habe ich mal nachgeforscht. Meine Konfiguration: Internet -> Vodafone Connect Box -> Fitzbox -> Netzwerk. In der Fritzbox war die Portweiterleitung eingerichtet. In der Connectbox sieht es leider etwas düster aus: Portforwarding bei IPv4 ist da ausgegraut. Eine kurze Netz-Recherche ergab lt einer Webseite, dass Vodafone wohl Port 22 "aus Gründen" nicht mehr direkt weiterleitet. Oder hat da vielleicht jemand noch eine andere Idee? ... hab meinen PVE-Container noch nicht gelöscht :)

Find ich echt geil, dass du Proxmox vorstellst. Das erstellen von VMs und LXCs ist glaube ich abgefrüstückt. Wie wäre es jetzt Proxmox zu erweitern zB. mit MAAS, Ansible, Kubernetes und/oder juju?

Jemand sollte man nen Tarpit machen der dem Angreifer vorgaukelt dass seine Abmeldeversuche erfolgreich sind

Achso die Scannen nach offene Ports mehr oder weniger, und wenn sie durch Kommen, versuchen sie per Brute-Force hereinzukommen. (Harte Tour) Und per Script wird es dann aufgezeichnet. Wieso setzt man kein RZ für solche Dinge ein, um so etwas zu unterbinden? Und wieso wurde überall Daten von Linux Server geleakt?

Und auch hier wieder: Ein offener Port ist doch per Definition das Anbieten eines Dienstes. Warum dann ausbremsen? Macht ihr das auch wenn ihr eine passwortgeschütze Webseite habt (ewig langsamer Fakewebserver auf Port 80/443 mit "echtem" Webserver auf einem anderen Port) oder schaut ihr nicht doch eher dass das Passwort sicher ist (bzw. ein Zertifikat benutzt wird)?

was bedeutet die rote Zahl zwischen der IP-Adresse & connected/disconnected?

mal ne dumme Frage: Kann man mit einem 4 Kerner gleichzeitig mehrere Virtuelle Maschinen laufen lassen so das man auf z.B. auf insgesammt auf 8 oder 16 Kerne kommt. Also anderst gesagt: 4 Kerner Hardware und 16 VM´s mit jeweils 1 Virtuellen CPU zugeteilt. Ich könnte es auch konfigurieren aber ich denke Fragen ist einfacher ;-) Danke MfG

Könnte man dafür nicht ein *Dockerfile* machen, anstatt auf der Kommandozeile rumzufrickeln?

16:55 fuck, jetzt hast du mich aber

Hat schon mal jemand versucht über die Ip's vom Log mal einen Portscanner drüber zu jagen :) ? Ich meine, dass das ja nur gerecht ist ;). Da is auch so manches "offen" .

Aber Standartmäßig ist ja eh der root Zugang dich. Dann bekommen die doch eh kein Login zum Terminal zustande. Oder sehe ich das Falsch? Nachtrag... Die Abfrage kommt ja trotzdem aber wenn man das Root passwd eingibt kommt "Access denied" Weil der root Zugang von Außen immer gesperrt ist (Standard Einstellung)

Sorry aber bei mir geht die reboot config nicht hab das bei "crontab -e" eingegeben: @reboot su tarpit -c "nohup ssh-tarpit -a 192.168.1.50 -p 2222 -i 4 -f /home/tarpit/tarpit.log &" bin Linux noob :-D

Bleibt die Frage, warum dt ISP das nicht blocken.

2 Firma Vodafone Hacker beruhigt Firma Pforzheim Amtsgericht Anwalt Gericht

wieso ist der ssh-tarpit überhaupt relevant?! sichert man die SSH-Verbindung nicht als erstes ab?! und sei es mit iptables auf die eigene ip eingeschränkt?! idealerweise natürlich nur Anmeldung mit Zertifikat etc. wozu also der mist?

Ich finde auch Webseiten access log logging ganz nett. Mich interessieren da die 404er Anfragen besonders. Hab da nicht schlecht geguckt, wo der Useragent vermuten ließ, dass der Angreifer großer AFD Fan ist. Tarpit schön und gut, aber ich banne da doch lieber die Leute. Ist halt aber scheiße wenn man sich selber bannt. Ist mir jetzt schon zum 2. Mal passiert. Beim ersten Mal hatte ich den falschen Eintrag im Passwortmanager. Das 2. Mal war erst vor ein paar Tagen. Ich habe das kopieren verkackt und hatte so irgendwie 3 Retrys hinter mir und war gebannt. Zum Glück gibt es da kostenlose VPNs die mir da ne andere IP geben und es mir erlauben mich selber zu entbannen. Gut kostenlos hört sich blöd an, aber wenn ich da den kostenlosem von Proton nicht vertrauen kann, dann weiß ich auch nicht. Gut ich könnte meine IP da auf die Whitelist setzen (ist statisch), aber das mache ich absichtlich nicht. Übrigens die 2FA Änderung (war der eigentliche Grund warum ich auf meinen Server wollte), habe ich dann nicht übers VPN gemacht.

Und wie ist das jetzt mit der Frauenquote?...

@SemperVideo: Challenge zum Root-Rechte Privilegieren? :D *lach*

Find ich nur tarpit damit vollkommen unnötig?

Diese Chinesen, Nein Nein.

Chinesisches Botnet anmieten und genau diese IPs bearbeiten..

mein Video zum Deinem Tar-Pit ist online kzbin.info/www/bejne/qKKtXpZvfaqiorc

leider behandelst du deine Container immer wie VMs.. der Hintergedanke ist aber das man sich NICHT darauf verbinden will um das einzustellen.. dazu gibt es Dockerfiles oder fertige Images. Zeig doch mal sowas. Wenn man den Leuten da draussen immer zeig wie es falsch geht ist das nicht hilfreich.