Подскажите пожалуйста, какие существуют программы(скрипты), которые после определенного числа неудачных попыток авторизации на proftpd прописывают блокировку ip атакующего ввиде правила файервола?
>Подскажите пожалуйста, какие существуют программы(скрипты), которые после определенного числа неудачных попыток авторизации
>на proftpd прописывают блокировку ip атакующего ввиде правила файервола?Как раз то что тебе нужно..
http://gennadi.dyn.ee/SITE=beforeAuth&sessionID=/d555381f2d0...
>Подскажите пожалуйста, какие существуют программы(скрипты), которые после определенного числа неудачных попыток авторизации
>на proftpd прописывают блокировку ip атакующего ввиде правила файервола?Если у тебя ftp для узкого круга избранных, то очень хорошо поможет решение настроить для ftp порт отличный от стандартного.
>Если у тебя ftp для узкого круга избранных, то очень хорошо поможет
>решение настроить для ftp порт отличный от стандартного.Security by Obscurity ... как задолбали такие "мегаэксперты"! Ну затратит мой nmap не 0.1 сек на скан а 1 сек, дальше что?
Если брутфорс реальная проблема - устанавливай что то типа fall2ban - оно будет IP переборщиков пихать на $сколько_надо_времени в drop правило фаервола ... Ну и поставь софт который не допускает слабых паролей, не те сейчас времена чтобы пасс <6 буцков пользовать :-\
>[оверквотинг удален]
>>решение настроить для ftp порт отличный от стандартного.
>
>Security by Obscurity ... как задолбали такие "мегаэксперты"! Ну затратит мой
>nmap не 0.1 сек на скан а 1 сек, дальше что?
>
>
>Если брутфорс реальная проблема - устанавливай что то типа fall2ban - оно
>будет IP переборщиков пихать на $сколько_надо_времени в drop правило фаервола ...
>Ну и поставь софт который не допускает слабых паролей, не те
>сейчас времена чтобы пасс <6 буцков пользовать :-\Вы чего такой злой? :-) Будьте добрее и жизнь у вас изменится! :)))) Что касается моего совета. Здесь, похоже вы не поняли смысла идеи. Ваш nmap действительно затратит времени всего лишь не намногим больше чем при стандартном скане. НО! Это правда только в том случае, если мой сайт/сервер вам был специально заказан для взлома. Тогда, согласитесь даже ваш fall2ban не поможет. Потому как вы наверное ломать уже будите не брут форсом. Так ведь ;)?
Если же к нам ломится обычный кулхаЦкер (йо-камон, пальцы веером, штаны типа "аля мотня"), то эта защита довольна эффективна, потому как такие ребята не сканят (ОБЫЧНО) по ВСЕМ портам выбранного им ip диапазона, а настраивают свои, йо-комон, nmapы только на известные порты известных служб... В этом случае они ничего не увидят. Адрес просто будет молчать, узел для них останется неизвестным, никаких дальнейших атак не будет. У вас есть в управлении сервера смотрящие в и-нет с ssh? попробуйте эксперимент. Сначала пусть ваш сервер постоит, смотря 22 портом в и-нет неделю, потом перенастройте ssh на какой-нибудь 43891 порт и посмотри что будет за месяц. :)) Почему я пишу здесь про кулхаЦкеров? Потому что взрослые люди не используют атаки типа bruoe force. Кстати, почему вы не сразу это поняли, а мне приходится вон сколько всего расписывать? ;))
>Подскажите пожалуйста, какие существуют программы(скрипты), которые после определенного числа неудачных попыток авторизации
>на proftpd прописывают блокировку ip атакующего ввиде правила файервола?Самописные скрипты существуют. Ничего сложного нет, возможности - неограниченные.
В /etc/syslog.conf делаем пайп на ут фашилити, в которую пишет FTP-сервер (если он, конечно, пишет туда, если нет - другой разговор). Например:
ftp.info |exec /usr/local/script/BruteForceProtection.plx
Теперь весь лог будет пайпиться в скрипт BruteForceProtection.plx.
Ну и внутри уже создаем скрипт так, как нам нужно... Например: перловый скрипт, сервер PureFTP, файервол - PF.
...
if (/([0-9]+[.][0-9]+[.][0-9]+[.][0-9]+)[)]..WARNING..Authentication failed for user.*/) {
if ($ipcount{$1}++ > 10) {
exec "echo block in quick from ".$1." to any | /sbin/pfctl -mf -"
}
}
...Это очень например, может даже с ошибками синтаксиса, но дальнейшее зависит от извращенности скриптописателя. ;)
Накинуть сюда хранение в DBD таблицах, авто-разбанивание, белые списки, статистика, все, что только фантазия подскажет.
>[оверквотинг удален]
>".$1." to any | /sbin/pfctl -mf -"
> }
>}
>...
>
>Это очень например, может даже с ошибками синтаксиса, но дальнейшее зависит от
>извращенности скриптописателя. ;)
>
>Накинуть сюда хранение в DBD таблицах, авто-разбанивание, белые списки, статистика, все, что
>только фантазия подскажет.Идея то ясна, поставил bruteblock не пошла, видно самому на shell придется написать
>[оверквотинг удален]
>>...
>>
>>Это очень например, может даже с ошибками синтаксиса, но дальнейшее зависит от
>>извращенности скриптописателя. ;)
>>
>>Накинуть сюда хранение в DBD таблицах, авто-разбанивание, белые списки, статистика, все, что
>>только фантазия подскажет.
>
>Идея то ясна, поставил bruteblock не пошла, видно самому на shell придется
>написатьbruteblock использует описанный принцип, может, событие не попадает под условия? ;) Если есть время, лучше попробовать руками - опыт - вещь не заменимая ни чем. Писать такой скрипт на шелле тяжеловато, лучше Python или Perl (IMHO).
>[оверквотинг удален]
>>>Накинуть сюда хранение в DBD таблицах, авто-разбанивание, белые списки, статистика, все, что
>>>только фантазия подскажет.
>>
>>Идея то ясна, поставил bruteblock не пошла, видно самому на shell придется
>>написать
>
>bruteblock использует описанный принцип, может, событие не попадает под условия? ;)
>Если есть время, лучше попробовать руками - опыт - вещь не
>заменимая ни чем. Писать такой скрипт на шелле тяжеловато, лучше Python
>или Perl (IMHO).Да перлом наверное, будет время подумаю. У bruteblock концепция хороша формируется список IP на основе данных логов. А дальше просто все IP добавляются в таблицу
для IPFW. В IPFW уже прописано соотвествующее правило
Зачем такие сложности, тем более с PF?
Можно проще сделать:
http://www.opennet.me/openforum/vsluhforumID10/3376.html - тут про dos на http, но можно и к tcp 21 применить.
Я так, например, ftp и ssh защищаю от брутфорса.
>Зачем такие сложности, тем более с PF?
>Можно проще сделать:
>http://www.opennet.me/openforum/vsluhforumID10/3376.html - тут про dos на http, но можно и к tcp
>21 применить.
>Я так, например, ftp и ssh защищаю от брутфорса.Если атакующий подбирает в 1 (один) процесс, то такой способ, увы, не поможет. И логи все равно гигантские. (
>Если атакующий подбирает в 1 (один) процесс, то такой способ, увы, не
>поможет. И логи все равно гигантские. (1. Для этого существет величина максимального количества попыток залогинится в рамках одного соединения. Так что не аргумент...
2. Как понять - логи гигантские? В обоих приведенных способах объем логов будет примерно одинаков, смотря какой критерий для бана выставить. Для того чтобы их парсить, да будут гигантские, для реализации защиты средствами pf рамер логов значения не имеет.