How about project Darknet and sinkholes and monitoring dark ip space,
worms and botnets usually scans blindly right and left, so there is a
good chance you will get a glimpse on infected hosts if thats what you
want, i catch infected hosts by looking at apache access logs and i see
alot of scans,<br>
<br>
and Randy for that i change the ssh port to a higher one :)<br><br><div><span class="gmail_quote">On 6/9/05, <b class="gmail_sendername">Randy Bush</b> <<a href="mailto:randy@psg.com">randy@psg.com</a>> wrote:</span>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><br>>> My suggestion, in the case that you'll use snort, is to do some extensive<br>>> testing on a non-production network.  Take the time to learn and
<br>>> understand its functionality and intended purpose.<br>> Also figure out what you're going to do with the output.  Do you have<br>> the resources to investigate apparent misbehavior?  Remember that any<br>
> IDS will have a certain false positive rate.  Even for true positives,<br>> do you have the customer care resources to notify your users and (if<br>> appropriate) hold their hands while they disinfect their machines.
<br><br>it's  enough of a pita to clean up the syslogs from all the 25k/day<br>password attacjs per host, when one does not have password ssh<br>even enabled.<br><br>randy<br><br></blockquote></div><br>