URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 73702
[ Назад ]

Исходное сообщение
"Блокировка по ip адресу"
Отправлено User , 25-Апр-07 11:05

Роботы сканеры подбирают логины к SSH, это можно найти в логах, как с помощью ipfw автоматически блокировать или вносить ip адреса роботов сканеров

Содержание

Блокировка по ip адресу,Nimdar, 11:08 , 25-Апр-07
- Блокировка по ip адресу,User, 11:56 , 25-Апр-07
  - Блокировка по ip адресу,kerilka, 12:03 , 25-Апр-07
    - Блокировка по ip адресу,User, 12:20 , 25-Апр-07
      - Блокировка по ip адресу,kerilka, 12:35 , 25-Апр-07
Блокировка по ip адресу,maxsvet, 14:36 , 25-Апр-07

Сообщения в этом обсуждении

"Блокировка по ip адресу"
Отправлено Nimdar , 25-Апр-07 11:08

>Роботы сканеры подбирают логины к SSH, это можно найти в логах, как
>с помощью ipfw автоматически блокировать или вносить ip адреса роботов сканеров
>
Запретить все входящие на порт 22 (и не только на этот) и разрешить только определённым адресам.

"Блокировка по ip адресу"
Отправлено User , 25-Апр-07 11:56

>>Роботы сканеры подбирают логины к SSH, это можно найти в логах, как
>>с помощью ipfw автоматически блокировать или вносить ip адреса роботов сканеров
>>
>
>Запретить все входящие на порт 22 (и не только на этот) и
>разрешить только определённым адресам.

Приходиться заходить с разных ip адресов, по этому можно ли сделать автоматическую блокировку ip адреса если не правильно введён логин

"Блокировка по ip адресу"
Отправлено kerilka , 25-Апр-07 12:03

>>>Роботы сканеры подбирают логины к SSH, это можно найти в логах, как
>>>с помощью ipfw автоматически блокировать или вносить ip адреса роботов сканеров
>>>
>>
>>Запретить все входящие на порт 22 (и не только на этот) и
>>разрешить только определённым адресам.
>
>
>Приходиться заходить с разных ip адресов, по этому можно ли сделать автоматическую
>блокировку ip адреса если не правильно введён логин
1. какая система? (в Freebsd я в портах, помоему в Security, видел нечто похожее, скрипт, который блочит файром попытки брутфорса. но как по мне этот метод не наилучший)
2. вариант №2 - у меня ссшка висит на совершенно левом портике, что всех этих роботов сразу останавливает ) как по мне - наилучший вариант )))

"Блокировка по ip адресу"
Отправлено User , 25-Апр-07 12:20

>>>>Роботы сканеры подбирают логины к SSH, это можно найти в логах, как
>>>>с помощью ipfw автоматически блокировать или вносить ip адреса роботов сканеров
>>>>
>>>
>>>Запретить все входящие на порт 22 (и не только на этот) и
>>>разрешить только определённым адресам.
>>
>>
>>Приходиться заходить с разных ip адресов, по этому можно ли сделать автоматическую
>>блокировку ip адреса если не правильно введён логин
>
>1. какая система? (в Freebsd я в портах, помоему в Security, видел
>нечто похожее, скрипт, который блочит файром попытки брутфорса. но как по
>мне этот метод не наилучший)
>2. вариант №2 - у меня ссшка висит на совершенно левом портике,
>что всех этих роботов сразу останавливает ) как по мне -
>наилучший вариант )))
Как и где это можно реализовать, я про 2 вариант

"Блокировка по ip адресу"
Отправлено kerilka , 25-Апр-07 12:35

>>>>>Роботы сканеры подбирают логины к SSH, это можно найти в логах, как
>>>>>с помощью ipfw автоматически блокировать или вносить ip адреса роботов сканеров
>>>>>
>>>>
>>>>Запретить все входящие на порт 22 (и не только на этот) и
>>>>разрешить только определённым адресам.
>>>
>>>
>>>Приходиться заходить с разных ip адресов, по этому можно ли сделать автоматическую
>>>блокировку ip адреса если не правильно введён логин
>>
>>1. какая система? (в Freebsd я в портах, помоему в Security, видел
>>нечто похожее, скрипт, который блочит файром попытки брутфорса. но как по
>>мне этот метод не наилучший)
>>2. вариант №2 - у меня ссшка висит на совершенно левом портике,
>>что всех этих роботов сразу останавливает ) как по мне -
>>наилучший вариант )))
>
>Как и где это можно реализовать, я про 2 вариант

в /etc/ssh/sshd_config
Port 7890
после чего рестарт ssh
порт можете задать любой, который не используется в Вашей системе

"Блокировка по ip адресу"
Отправлено maxsvet , 25-Апр-07 14:36

>Роботы сканеры подбирают логины к SSH, это можно найти в логах, как
>с помощью ipfw автоматически блокировать или вносить ip адреса роботов сканеров
>

#!/bin/sh
# если два часа ночи - удаляем предыдущие правила
if [ `date +%H` -eq 02 ]
then
/sbin/ipfw delete 1 >/dev/null 2>&1
fi
#
day=`date +%d`
month=`date +%m`
year=`date +%Y`
log_dir="/var/old_log/${year}/${month}"
# создаём папку для логов
mkdir -p ${log_dir}
log_file="${log_dir}/${day}_auth.log"
# переносим логи
cat /var/log/auth.log > /tmp/auth.log
cat /dev/null > /var/log/auth.log
cat /tmp/auth.log >> ${log_file}
# Вначале отлавливаем IP с которых пытаются залогинится
# под несуществующими пользователями
cat /tmp/auth.log | \
grep Illegal | awk '{print $10}' | sort | uniq -c  | sort |
{
while read count_IP
do
count_deny=`echo ${count_IP} | awk '{print $1}'`
IP=`echo ${count_IP} | awk '{print $2}'`
if [ ${count_deny} -ge 10 ]
then
#echo "IP address  = ${IP}      deny count =    ${count_deny}"
/sbin/ipfw add 1 deny ip from ${IP} to me >/dev/null 2>&1
fi
done
}
# отлавливаем IP c которых лезут под системными
# пользователями (с учётом того, что сделали раньше,
# ходить разрешили только описанным в sshd_conf)
cat /tmp/auth.log | \
grep "Failed password" | awk '{print $11}' | sort | uniq -c  | sort |
{
while read count_IP
do
count_deny=`echo ${count_IP} | awk '{print $1}'`
IP=`echo ${count_IP} | awk '{print $2}'`
if [ ${count_deny} -ge 5 ]
then
#echo "IP address  = ${IP}      deny count =    ${count_deny}"
/sbin/ipfw add 1 deny ip from ${IP} to me >/dev/null 2>&1
fi
done
}
в сron каждые 5 мин.
(С) lissyara (www.lissyara.su)