-google-ads-
2012
02.26

Heute haben wir von einem User SSH-Attacken per Mail erhalten, welche vom Juni 2011 waren. Der Server, konnte die Mails nicht versenden und hat diese aber auch nicht gebounced. Nachdem dies vom Betreiber gefixt wurde, haben wir mehrere hundert (fast 2.000) SSH-Attacken erhalten.

Da bei den SSH-Logs kein Jahr enthalten ist, gehen wir vom aktuellen Jahr aus. Beim Reporting, prüfen wir ob die Attacke selbst nicht älter als 3 Tage ist, da dann eigentlich ein normaler Provider bereits das Problem gefixt hat und somit ein Report unnötig ist.

Da allerdings z.b. der 17.07.2012 nicht in der Vergangenheit, sondern in der Zukunft liegt, hat unsere Prüfung auf das Alter nicht angeschlagen und der Report wurde versendet.

Wir haben heute daher noch eine weitere Prüfung eingebaut, dass das Datum der Attacke auch nicht mehr als 3 Tage in der Zukunft liegen darf.

Da wir die Zeit aus den Logfiles nutzen, kann je nach Server, wenn dieser nicht synchron ist, die Zeit etwas abweichen. Wir schreiben daher z.B. bei den Mail-Reports die Zeit noch mit rein, wann wir die Attacke erhalten haben.

 

An alle, die heute die alten Reports erhalten haben: Bitte entschuldigen Sie

-google-ads-

Kein Kommentar

Kommentieren

Dein Kommentar