Hallo ihr Lieben,
ich wünsche allen ein gesundes, erfolgreiches tolles Jahr 2025 
und möchte mit einem Aufruf starten
Ich habe mit großer Begeisterung den Vortrag von Lars beim 38C3 angeschaut: Attack Mining: How to use distributed sensors to identify and take down adversaries - media.ccc.de
Das projekt ist dermaßen genial, dass ich alle Server, die mir zur Verfügung stehen mit Lars’ AttackPod ausgerüstet habe und möchte euch bitten, zu überlegen, ob ihr das nicht auch tun wollt
Es ist sehr einfach:
- API-Token auf https://netwatch.team/ bestellen (kommt 1-2 Tage später)
- SSH-Port auf dem Server weg von 22 hin zu was anderem (dürfte bei den meisten eh schon der Fall sein)
- Docker installieren falls noch nicht vorhanden
- eine docker-compose.yml Datei in ein Verzeichnis legen
- eine .env Datei mit dem API-Token dazu legen
- Container hochfahren.
Fortan werden alle Bruteforce-Versuche an netwatch.team gemeldet, aggregiert und in Zusammenarbeit mit den ISP vom Netz genommen
Mega!
Das erinnert etwas an Crowdsec, ist aber gerade andersrum:
es werden keine IP-Adressen vom AngriffsZIEL gebanned, sondern die QUELLE wird vom Netz genommen. Das ist deutlich effektiver, weil es auch die Geräte schützt, die das System gar nicht kennen. Und es macht den Angreifern das Leben sehr viel schwerer, weil sie nicht erkennen können, dass sie sich an einem dummy-Server verausgaben
Es ist also eine geniale Ergänzung! Auf dem Standardport lauscht in Zukunft der AttackPod und auf dem Port des echten SSH-Servers lauscht natürlich fail2ban oder crowdsec mit.
Projektseite auf github:
Also dann
Helft mit, das Netz sicherer zu machen!
LG Jesko