Здравствуйте!

В логах proftpd наблюдаю постоянные попытки подбора пароля для различных существующих и несуществующих имен пользователей. Хотелось бы в автоматическом режиме и в реальном масштабе времени обнаруживать эти попытки и блокировать доступ к серверу данных IP на уровне iptables (–j DROP).

Подскажите, пожалуйста, возможные решения!

• ProFTPd попытки подбора пароля,all, 10:32 , 13-Дек-07
  • ProFTPd попытки подбора пароля,atch, 14:55 , 13-Дек-07
    • ProFTPd попытки подбора пароля,anonymous, 23:06 , 21-Дек-07
• ProFTPd попытки подбора пароля,universite, 16:25 , 13-Дек-07
• ProFTPd попытки подбора пароля,mitiok, 23:24 , 21-Дек-07

>Здравствуйте!
>
>В логах proftpd наблюдаю постоянные попытки подбора пароля для различных существующих и
>несуществующих имен пользователей. Хотелось бы в автоматическом режиме и в реальном
>масштабе времени обнаруживать эти попытки и блокировать доступ к серверу данных
>IP на уровне iptables (–j DROP).
>
>Подскажите, пожалуйста, возможные решения!

Я использую snort+snortsam, вполне устраивает по всем показателям, кроме того что snortsam не поддерживает x64

fail2ban

>fail2ban

sshguard.

>Подскажите, пожалуйста, возможные решения!

apf (http://rfxnetworks.com/apf.php)

>Хотелось бы в автоматическом режиме и в реальном
>масштабе времени обнаруживать эти попытки и блокировать доступ к серверу данных
>IP на уровне iptables (–j DROP).

у меня в pf сие делается так:
# block the ftp bruteforce
block drop in quick on $ext_if proto tcp from <ftp-bruteforce> to port ftp
pass in on $ext_if proto tcp from any to ($ext_if) port ftp flags S/SA keep state (max-src-conn-rate 10/60, overload <ftp-bruteforce> flush global)
pass in on $ext_if proto tcp from any to ($ext_if) port 49153><49173  flags S/SA keep state

потом кроном с помощью expiretable чистим старые записи в таблицах. уверен что iptables умеет что-то подобное