Blokace opakovanych pokusu o pripojeni?
Petr Barta
potreboval bych nejakou metodu, jak zablokovat (automaticky,
nejlepe pomoci iptables) IP adresu, ze ktere chodi pokusy o ssh (ftp,
pop3, apod.) spojeni, ovsem pokazde s jinym username. Umim zablokovat
spojeni, pokud se snazi nekdo uhodnout heslo (opakovana spojeni se stejnym
jmenem), ale ne, kdyz je jmeno pokazde jine. Tyhle pokusy se opakuji ne
moc casto, a (zatim) pokazde slo o serii pokusu z jedne IP adresy, a po
case (vetsinou po rucnim zablokovani) zase z jine.
Rad bych se pritom vyhnul moznosti DoS, proto bych rad, kdyby
takova blokace byla jen casove omezena, idealne jen po dobu, pokud trva
utok. Snazil jsem se neco vymyslet pomoci match "recent" v IPtables, ale
budto tomu nerozumim, nebo se to chova jinak nez bych cekal (a nechci si
pritom odriznout vetev, delam to na vzdalenem stroji).
Predpokladam, ze jde o nejakeho cerva nebo neco takoveho.
Mohl by mne nekdo nasmerovat, at uz na TFM, nebo HOWTO, nebo
poradit jinou (lepsi) metodu, jak to delat? Podotykam, ze man iptables
jsem samozrejme cetl (a jak uz jsem rikal, mozna to jen nedokazu
pochopit).
Za rady predem dekuji, nadavky mi prosim posilejte primo, at
neobtezujeme konferenci... :-)
Petr Barta
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
TIP: Konference o PDA a Linuxu: http://penguin.cz/cgi-bin/mailman/listinfo/pda-l
Jan Houstek
> Zdravim vespolek,
> potreboval bych nejakou metodu, jak zablokovat (automaticky,
> nejlepe pomoci iptables) IP adresu, ze ktere chodi pokusy o ssh (ftp,
> pop3, apod.) spojeni, ovsem pokazde s jinym username. Umim zablokovat
> spojeni, pokud se snazi nekdo uhodnout heslo (opakovana spojeni se stejnym
> jmenem), ale ne, kdyz je jmeno pokazde jine. Tyhle pokusy se opakuji ne
> moc casto, a (zatim) pokazde slo o serii pokusu z jedne IP adresy, a po
> case (vetsinou po rucnim zablokovani) zase z jine.
> Rad bych se pritom vyhnul moznosti DoS, proto bych rad, kdyby
> takova blokace byla jen casove omezena, idealne jen po dobu, pokud trva
> utok. Snazil jsem se neco vymyslet pomoci match "recent" v IPtables, ale
> budto tomu nerozumim, nebo se to chova jinak nez bych cekal (a nechci si
> pritom odriznout vetev, delam to na vzdalenem stroji).
No ja nevim, delat to jen ciste pres iptables mozna neni uplne to prave.
Obvykle se takova vec resi tak, ze se sleduje log demona a kdyz to
sledovadlo usoudi, ze se tam vyskytl nejaky zlocinec, tak podnikne
protiopatreni (at uz docasne cestne misto na blacklistu, nebo neco
rafinovanejsiho, jako napr. zamerne zpomalovani komunikace, vraceni
vsech paketu zpet odesilateli 100x atp.).
Ciste pomoci iptables by se mozna pomoci kombinace nejakych chytrych
modulu (limit, recent, connlimit) dalo zaridit neco ve stylu "pokud je z
jedne IP adresy vic nez N paketu na 22/tcp s nastavenym SYN flagem za
poslednich M minut, nepoustej z teto adresy zadne dalsi. Ale z praktickeho
hlediska se mi zda efektnejsi to resit az nekde vys (primo v sshd,
v tcp_wrappers apod.).
-- Honza Houstek
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
TIP: Prohledejte ftp.linux.cz: http://ftp.linux.cz/pub/
Ivan Stenda
povedzme moze ovladat netfilter, ale nie od netfilteru samotneho.
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
TIP: Hledate Linuxovy software? Zkuste http://www.tuxfinder.com/
David Hrbáč
> No ja nevim, delat to jen ciste pres iptables mozna neni uplne to prave.
> Obvykle se takova vec resi tak, ze se sleduje log demona a kdyz to
> sledovadlo usoudi, ze se tam vyskytl nejaky zlocinec, tak podnikne
> protiopatreni (at uz docasne cestne misto na blacklistu, nebo neco
> rafinovanejsiho, jako napr. zamerne zpomalovani komunikace, vraceni
> vsech paketu zpet odesilateli 100x atp.).
>
> Ciste pomoci iptables by se mozna pomoci kombinace nejakych chytrych
> modulu (limit, recent, connlimit) dalo zaridit neco ve stylu "pokud je z
> jedne IP adresy vic nez N paketu na 22/tcp s nastavenym SYN flagem za
> poslednich M minut, nepoustej z teto adresy zadne dalsi. Ale z praktickeho
> hlediska se mi zda efektnejsi to resit az nekde vys (primo v sshd,
> v tcp_wrappers apod.).
>
> -- Honza Houstek
Ahoj,
jedna z možností:
http://www.redhat.com/archives/fedora-test-list/2005-August/msg00061.html
$IPTABLES -A INPUT -m hashlimit -m tcp -p tcp --dport 22 --hashlimit
1/min --hashlimit-mode srcip --hashlimit-name ssh -m state --state NEW
-j ACCEPT
další možnost je (jednoduchý portknocking):
-A INPUT -p tcp --dport #SECRETPORT1# -m recent --set
-A INPUT -p tcp --dport ssh -m state --state NEW -m recent --update
--seconds #SECONDS# -j ACCEPT
eventuelně rozšířit o
-A INPUT -p tcp --dport #SECRETPORT2# -m recent --remove
apod.
David hrbáč
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
TIP: Archivy news a prohledavani najdete na http://groups.google.com/
David Hrbáč
> Zdravim vespolek,
> potreboval bych nejakou metodu, jak zablokovat (automaticky,
> nejlepe pomoci iptables) IP adresu, ze ktere chodi pokusy o ssh (ftp,
> pop3, apod.) spojeni, ovsem pokazde s jinym username. Umim zablokovat
> spojeni, pokud se snazi nekdo uhodnout heslo (opakovana spojeni se stejnym
> jmenem), ale ne, kdyz je jmeno pokazde jine. Tyhle pokusy se opakuji ne
> moc casto, a (zatim) pokazde slo o serii pokusu z jedne IP adresy, a po
> case (vetsinou po rucnim zablokovani) zase z jine.
Samozřejmě jsem si na to vzpomněl, až po odeslání emailu. viz
http://www.hexten.net/pam_abl/
David Hrbáč
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
Petr Barta
> Obvykle se takova vec resi tak, ze se sleduje log demona a kdyz to
> sledovadlo usoudi, ze se tam vyskytl nejaky zlocinec, tak podnikne
> protiopatreni (at uz docasne cestne misto na blacklistu, nebo neco
> rafinovanejsiho, jako napr. zamerne zpomalovani komunikace, vraceni
> vsech paketu zpet odesilateli 100x atp.).
OK, dekuji vsem za vyjadreni. Prestanu se tedy snazit vymyslet nejakou
metodu pres iptables, a napiseu si sledovadlo logu... :-) Tam budu aspon
naprosto rpesne vedet, co a jak to dela. (A az si uriznu vete pod sebou,
bude mi jasne proc... :-)) ).
Petr Barta
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
TIP: Ctete FAQ - http://www.phil.muni.cz/~letty/linuxfaq/
michal...@cez.cz
Petr Barta wrote:
>> No ja nevim, delat to jen ciste pres iptables mozna neni uplne to prave.
>> Obvykle se takova vec resi tak, ze se sleduje log demona a kdyz to
>> sledovadlo usoudi, ze se tam vyskytl nejaky zlocinec, tak podnikne
>> protiopatreni (at uz docasne cestne misto na blacklistu, nebo neco
>> rafinovanejsiho, jako napr. zamerne zpomalovani komunikace, vraceni
>> vsech paketu zpet odesilateli 100x atp.).
>
> OK, dekuji vsem za vyjadreni. Prestanu se tedy snazit vymyslet nejakou
> metodu pres iptables, a napiseu si sledovadlo logu... :-) Tam budu aspon
> naprosto rpesne vedet, co a jak to dela. (A az si uriznu vete pod sebou,
> bude mi jasne proc... :-)) ).
či si upravit tohle
http://www.pettingers.org/code/sshblack.html
mm
--
^(w)^.
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
TIP: Konference o UNIXu obecne: munix-l na list...@muni.cz
Dalibor Straka
> > No ja nevim, delat to jen ciste pres iptables mozna neni uplne to prave.
> > Obvykle se takova vec resi tak, ze se sleduje log demona a kdyz to
> > sledovadlo usoudi, ze se tam vyskytl nejaky zlocinec, tak podnikne
> > protiopatreni (at uz docasne cestne misto na blacklistu, nebo neco
> > rafinovanejsiho, jako napr. zamerne zpomalovani komunikace, vraceni
> > vsech paketu zpet odesilateli 100x atp.).
>
> OK, dekuji vsem za vyjadreni. Prestanu se tedy snazit vymyslet nejakou
> metodu pres iptables, a napiseu si sledovadlo logu... :-) Tam budu aspon
> naprosto rpesne vedet, co a jak to dela. (A az si uriznu vete pod sebou,
> bude mi jasne proc... :-)) ).
>
Vypada to, ze jeste zadny nemate ;-). Doporucuji si vyzkouset logwatch
a kdyz se vam to bude libit, muzete zacit prepisovanim dobreho software
:).
-- Dalibor Straka
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
TIP: Navrhy na dalsi tipy piste na linux...@linux.cz
Jiri Kosina
> Ciste pomoci iptables by se mozna pomoci kombinace nejakych chytrych
> modulu (limit, recent, connlimit) dalo zaridit neco ve stylu "pokud je z
> jedne IP adresy vic nez N paketu na 22/tcp s nastavenym SYN flagem za
> poslednich M minut, nepoustej z teto adresy zadne dalsi. Ale z
> praktickeho hlediska se mi zda efektnejsi to resit az nekde vys (primo v
> sshd, v tcp_wrappers apod.).
Pro zajimavost -
http://lists.grok.org.uk/pipermail/full-disclosure/2006-February/042588.html
a navazujici thread.
--
JiKos.
Petr Vileta
> Zdravim vespolek,
> potreboval bych nejakou metodu, jak zablokovat (automaticky,
> nejlepe pomoci iptables) IP adresu, ze ktere chodi pokusy o ssh (ftp,
> pop3, apod.) spojeni, ovsem pokazde s jinym username. Umim zablokovat
dalsich veci, ktere jsou spousteny pres xinetd demona.
Je to velmi jednoduche. Do /etc/hosts.deny zapisete pravidlo pro urcitou
sluzbu a to tak, ze misto vyjmenovani IP adres se zapise jmeno souboru s
uplnou cestou. Do tohoto souboru pak muzete pridavat nebo ubirat IP adresy
nebo rozsahy a neni treba sluzbu restartovat.
--
Petr
Skype: callto://fidokomik
Na mail uvedeny v headeru zpravy nema cenu nic posilat, konci to v PR*
:-) Odpovidejte na petr na practisoft cz
Jiri Kosina
> No ja jsem vlastni hlavou vymyslel reseni pro blokovani ssh, sendmailu a
> dalsich veci, ktere jsou spousteny pres xinetd demona. Je to velmi
Pletete pate pres devate. ssh ani sendmail typicky nejsou spousteny pres
xinetd. To ze je mozne k nim pristup omezovat pomoci /etc/hosts* znamena,
ze pouzivaji tcpwrappers, ale nijak to nesouvisi s xinetd.
> jednoduche. Do /etc/hosts.deny zapisete pravidlo pro urcitou sluzbu a to
> tak, ze misto vyjmenovani IP adres se zapise jmeno souboru s uplnou
> cestou. Do tohoto souboru pak muzete pridavat nebo ubirat IP adresy nebo
> rozsahy a neni treba sluzbu restartovat.
Myslim ze puvodni tazatel mel na mysli asi spise nejake mene otrocke a
vice automatizovane reseni :)
--
JiKos.
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
TIP: Pred polozenim dotazu si nejprve prectete dokumentaci k programu
Petr Vileta
> On Wed, 1 Mar 2006, Petr Vileta wrote:
>
>> No ja jsem vlastni hlavou vymyslel reseni pro blokovani ssh,
>> sendmailu a dalsich veci, ktere jsou spousteny pres xinetd demona.
>> Je to velmi
>
> Pletete pate pres devate. ssh ani sendmail typicky nejsou spousteny
> pres xinetd. To ze je mozne k nim pristup omezovat pomoci /etc/hosts*
> znamena, ze pouzivaji tcpwrappers, ale nijak to nesouvisi s xinetd.
>
xinetd, tak mi prestane fungovat sendmail, pop3d, sshd a dalsi. Takze jak to
je?
>> jednoduche. Do /etc/hosts.deny zapisete pravidlo pro urcitou sluzbu
>> a to tak, ze misto vyjmenovani IP adres se zapise jmeno souboru s
>> uplnou cestou. Do tohoto souboru pak muzete pridavat nebo ubirat IP
>> adresy nebo rozsahy a neni treba sluzbu restartovat.
>
> Myslim ze puvodni tazatel mel na mysli asi spise nejake mene otrocke a
> vice automatizovane reseni :)
Ale ono to vubec neni otrocke. Vyhoda toho je, ze se jakymkoliv skriptem
edituje prislusny soubor pro urcitou sluzbu (ja mam samostatne soubory pro
sendmail a sshd) a nemusi se nic restartovat ani reloadovat. Proste od
okamziku ulozeni zmeneneho souboru zacinaji platit nova pravidla.
Ted se chystam dopsat i ten "automat" a to tak, ze se bude z cronu
pravidelne spoustet skript, co bude prohledavat logy, odhalovat zlocince a
pridavat je do hosts.deny souboru. Sand konecne ziskam kompletni sbirku
vsech cinskych a korejskych IP :-)
Yeti
> Zdravim vespolek,
> potreboval bych nejakou metodu, jak zablokovat (automaticky,
> nejlepe pomoci iptables) IP adresu, ze ktere chodi pokusy o ssh (ftp,
Tohle se nedavno resilo v alt.os.linux.slackware. Zkuste se podivat na
<di9lbt$bji$1...@solaris.cc.vt.edu>, tam najdete jedno z elegantnich reseni.
Yeti
--
This message is best viewed with open eyes.
Petr Barta
> xinetd. To ze je mozne k nim pristup omezovat pomoci /etc/hosts* znamena,
> ze pouzivaji tcpwrappers, ale nijak to nesouvisi s xinetd.
V mem pripade skutecne ani ssh, ani dalsi sluzby nejsou spoustene pres
(x)inet, a nehodlam je pres nej spoustet. Podival jsem se na navrhovana
reseni, a zatim nejvic mi vyhovuje reseni poslane p. Hrbacem
(http://www.hexten.net/pam_abl/).
>> jednoduche. Do /etc/hosts.deny zapisete pravidlo pro urcitou sluzbu a to
>> tak, ze misto vyjmenovani IP adres se zapise jmeno souboru s uplnou
>> cestou. Do tohoto souboru pak muzete pridavat nebo ubirat IP adresy nebo
>> rozsahy a neni treba sluzbu restartovat.
>
> Myslim ze puvodni tazatel mel na mysli asi spise nejake mene otrocke a
> vice automatizovane reseni :)
Tak tak - blacklist si dokazu bez potizi napsat taky, slo mi prave o tu
moznost automaticky zakazovat (a po skonceni utoku zase povolovat) IP
adresu, ze ktere ty pokusy chodi. :-) A jsem si vedom toho, ze mi nekdo
muze podvrhnout adresu stroje, ze ktereho se dostavam ja - proto tam chci
mit prave i to automaticke vyrazovani... :-)
Dekuji vsem,
Petr Barta
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
TIP: Pred odeslanim mailu zkontrolujte, jestli Subject odpovida tematu
Vaclav Dusek
http://www.aczoom.com/cms/blockhosts
Funguje jednoduse a spolehlive
Dne 2.3.2006 8:15 Petr Barta napsal:
>> Pletete pate pres devate. ssh ani sendmail typicky nejsou spousteny pres
>> xinetd. To ze je mozne k nim pristup omezovat pomoci /etc/hosts* znamena,
>> ze pouzivaji tcpwrappers, ale nijak to nesouvisi s xinetd.
--
Vaclav Dusek
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
TIP: Pred odeslanim mailu zkontrolujte, jestli necitujete prilis mnoho textu
tldv
co se na problem podivat z jineho uhlu - povolovat si ssh jen pro "sve"
adresy? neboli knockd - http://www.zeroflux.org/cgi-bin/cvstrac/knock/wiki
elegantne tim odfiltrujete nejen nahodne utocniky z ciny, ale i ruzne
nmapisty a jine zvedavce.
hmls
On Thu, 2 Mar 2006, Vaclav Dusek wrote:
> Omlouvam se, pokud zde jiz tento odkaz prosel -
> http://www.aczoom.com/cms/blockhosts
>
> Funguje jednoduse a spolehlive
>
> Dne 2.3.2006 8:15 Petr Barta napsal:
>>> Pletete pate pres devate. ssh ani sendmail typicky nejsou spousteny pres
>>> xinetd. To ze je mozne k nim pristup omezovat pomoci /etc/hosts*
>>> znamena,
>>> ze pouzivaji tcpwrappers, ale nijak to nesouvisi s xinetd.
--
Check my PGP public key at http://poblijon.ubal.to/~tloudev/pgp.pub
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
TIP: Hledejte pomoci Google: http://google.com/linux
Petr Barta
> adresy? neboli knockd - http://www.zeroflux.org/cgi-bin/cvstrac/knock/wiki
> elegantne tim odfiltrujete nejen nahodne utocniky z ciny, ale i ruzne
> nmapisty a jine zvedavce.
Knockd se mi nelibi, a povolit jen "sve" adresy nemuzu - pomerne casto se
prihlasuju zjinych IP adres, a neznam predem jejich seznam...
Petr Barta
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
TIP: Tato konference je dostupna i jako cz.comp.linux
temporary
http://www.aczoom.com/cms/blockhosts
Petr Vileta
>> co se na problem podivat z jineho uhlu - povolovat si ssh jen pro
>> "sve" adresy? neboli knockd -
>> http://www.zeroflux.org/cgi-bin/cvstrac/knock/wiki elegantne tim
>> odfiltrujete nejen nahodne utocniky z ciny, ale i ruzne nmapisty a
>> jine zvedavce.
>
> Knockd se mi nelibi, a povolit jen "sve" adresy nemuzu - pomerne
> casto se prihlasuju zjinych IP adres, a neznam predem jejich seznam...
>
a white/black listy. Povoleni/zakaz se dela zaslanim SMS nebo mailu v
predepsanem tvaru na konkretni mailovou adresu meho serveru.
Jestli se muzu zeptat, tak proc nechcete spoustet sshd pres xinetd? To jich
bezi najednou tolik? Uznavam, ze pokud je v jeden moment aktivnich 50-200
ssh spojeni, byl by to problem. Ale pokud vam bezi soucasne 2-3 spojeni, je
myslim vyhodnejsi to spoustet pres wrapper.
Petr Barta
> white/black listy. Povoleni/zakaz se dela zaslanim SMS nebo mailu v
> predepsanem tvaru na konkretni mailovou adresu meho serveru.
> Jestli se muzu zeptat, tak proc nechcete spoustet sshd pres xinetd? To jich
> bezi najednou tolik? Uznavam, ze pokud je v jeden moment aktivnich 50-200 ssh
> spojeni, byl by to problem. Ale pokud vam bezi soucasne 2-3 spojeni, je
> myslim vyhodnejsi to spoustet pres wrapper.
Prave ze mnozstvi ssh pripojeni se pomerne ruzni - muze jich byt pet, ale
jsou doby, kdy jich je take 200, a neni to uplne zridka... Uznavam, ze v
tom pripade moje dychavicna masika uz jen stezi funi... :-)
Petr Barta
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
TIP: Konference o sendmailu jinych MTA: sendma...@linux.cz
Vlada Macek
> potreboval bych nejakou metodu, jak zablokovat (automaticky, nejlepe
> pomoci iptables) IP adresu, ze ktere chodi pokusy o ssh (ftp, pop3,
> apod.) ...
Resil jsem asi stejny problem, tuna hlasek od logchecku o pokusech o
prihlaseni ruzne ze sveta. Nechtel jsem je ignorovat, lepsi je se jim
branit.
Moji prioritou bylo, aby uzivatele serveru nebyli vubec obtezovani, tedy
port ssh musi byt standardni 22 a zadne tukani, i kdyz jsem si s tou
myslenkou zahraval. Zadne omezovani Ciny a Koreje, apod.
Sledovani logu nejakym pravidelne spoustenym cmuchadlem jsem nechtel --
kdyz se spusti, je vetsinou pozde, behem par minut mam dve stranky
pokusu. A co kdyby se jeden trefil? :-)
Nize uvedene reseni nestalo zadne programovani. Pouzivam pouze
existujici software -- iptables, modul recent. Neco jsem vycetl, neco
pridal vlastniho. Lze to nazvat IP greylistingem. Po nekolika mesicich
pouzivani zadna stiznost.
$IPTABLES -N recent_ssh
# IP adresy, ze kterych prijimame SSH spojeni libovolnou rychlosti
QUICK_SSH="ip1 ip2 ..."
###############################################################################
# RECENT_SSH
# Zamezeni brute-force pokusu o prihlaseni pres SSH.
A="$IPTABLES -A recent_ssh"
# Nejdrive pustime pakety z adres, ktere pro jistotu nebudeme
omezovat.
#
---------------------------------------------------------------------------
if [ -n "$QUICK_SSH" ]; then
for IP in $QUICK_SSH; do
$A -s $IP -j RETURN
done
fi
# Navrat paketu z tohoto retezu (OK), pokud je jich z jedne IP adresy
# v poslednich '--seconds' sekundach min nez '--hitcount'.
#
---------------------------------------------------------------------------
$A -m recent --name recent_ssh --set
$A -m recent --name recent_ssh ! --rcheck --seconds 60 --hitcount 7
-j RETURN
# Zde jiz paket bude odmitnut, ale prvnim z nich jeste akci
zalogujeme.
#
---------------------------------------------------------------------------
$A -m recent --name recent_ssh_log ! --update --seconds 60 -j LOG
--log-level debug --log-prefix "Fw:TOOMANY-SSH: "
$A -m recent --name recent_ssh_log --set
# Finalni akce s pretekajicimi pakety.
#
---------------------------------------------------------------------------
$A -j REJECT --reject-with icmp-admin-prohibited
...
###############################################################################
# INPUT
# Pakety urcene pouze pro tento stroj.
A="$IPTABLES -A INPUT"
...
$A -m state --state ESTABLISHED -j ACCEPT
# Zbyvaji zadosti o nova spojeni.
# Zadosti o SSH podrobime testu, zda neprichazeji z nejakeho IP moc
casto.
#
---------------------------------------------------------------------------
$A -p TCP --dport 22 -j recent_ssh
###############################################################################
Priklad vysledku (mail od logchecku):
Bezpecnostni udalosti
=-=-=-=-=-=-=-=-=-=-=
Mar 4 22:31:41 sshd[25009]: Failed password for root from 221.143.22.24 port 35915 ssh2
Mar 4 22:31:43 sshd[25011]: Failed password for postgres from 221.143.22.24 port 36581 ssh2
Mar 4 22:31:46 sshd[25013]: Failed password for illegal user accept from 221.143.22.24 port 37218 ssh2
Mar 4 22:31:48 sshd[25015]: Failed password for illegal user leo from 221.143.22.24 port 38000 ssh2
Mar 4 22:31:51 sshd[25017]: Failed password for illegal user zeppelin from 221.143.22.24 port 38669 ssh2
Mar 4 22:31:54 sshd[25019]: Failed password for illegal user hacker from 221.143.22.24 port 39856 ssh2
Udalosti v systemu
=-=-=-=-=-=-=-=-=-
Mar 4 22:31:46 sshd[25013]: Illegal user accept from 221.143.22.24
Mar 4 22:31:46 sshd[25013]: error: Could not get shadow information for NOUSER
Mar 4 22:31:48 sshd[25015]: Illegal user leo from 221.143.22.24
Mar 4 22:31:48 sshd[25015]: error: Could not get shadow information for NOUSER
Mar 4 22:31:51 sshd[25017]: Illegal user zeppelin from 221.143.22.24
Mar 4 22:31:51 sshd[25017]: error: Could not get shadow information for NOUSER
Mar 4 22:31:54 sshd[25019]: Illegal user hacker from 221.143.22.24
Mar 4 22:31:54 sshd[25019]: error: Could not get shadow information for NOUSER
Mar 4 22:31:54 kernel: Fw:TOOMANY-SSH: IN=eth0 OUT= MAC=00:60:08:91:ca:f5:00:13:21:fc:55:ca:08:00 SRC=221.143.22.24 DST=x.x.x.x LEN=60 TOS=0x00 PREC=0x00 TTL=47 ID=56063 DF PROTO=TCP SPT=40395 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0
###############################################################################
Asi by slo logcheckem to otravovani jeste zmirnit, ale i tak jsem velmi
spokojeny.
Ted jsem si udelal statistiku za dobu, co to bezi. Vetsina IP se
zakazala jen jednou a stacilo to. Je niceme rekordman, ktery byl zakazan
i 7x. Toho asi budu blacklistovat rucne ve skriptu. :-)
--
\//\/\
(Sometimes credited as BA92 C339 6DD2 51F6 BACB 4C1B 5470 360E 20E5 926D.)
[ When you find a virus in mail from me, then I intended to infect you, ]
[ since I use SW that is not distributing malware w/o my knowledge. ]