форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"ssh"
Сообщение от 999 (ok) on 08-Окт-04, 14:05  (MSK)
подскажите каким образом можно автоматически, скажем на 30 минут, забанить IP с которого происходят попытки зарегистрироваться на ssh под любым пользователем?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "ssh"
Сообщение от Gennadi (??) on 08-Окт-04, 20:51  (MSK)
>подскажите >каким образом можно автоматически, скажем на 30 минут, забанить IP с которого >происходят попытки зарегистрироваться на ssh под любым пользователем? Я использую этот скрипт и паре с shorewall'ом... хотя это всё равно... Тебе надо изменить только две строчки, которые вписывают вражеский IP в firewall: BLACKLIST="/etc/shorewall/blacklist" и echo "$IP" >> $BLACKLIST Скрипт ssh_block.sh ======================================================================= #!/bin/sh # LOG="/var/lig/messasges" # Log-file Server'a BLACKLIST="/etc/shorewall/blacklist"             for ARG in "Failed" "Did" do while [ ! -z "`cat $LOG | grep $ARG | cut -d : -f 7 |cut -d " " -f 1`" ] do IP="`cat $LOG | grep $ARG | cut -d : -f 7 |cut -d " " -f 1`" echo "$IP" >> $BLACKLIST sed -e "s/$ARG/XXXXXXXXX/g" $LOG > ip_tmp && cp ip_tmp $LOG; touch flag; done done # if [ -f flag ]; then shorewall restart rm -f flag; fi ===================================================================== cp ssh_block.sh /usr/local/sbin chmod 755 /usr/local/sbin/ssh_block.sh /etc/crontab: -*/1 * * * *    root    /usr/local/sbin/ssh_block.sh >/dev/null 2>&1
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "ssh"
	Сообщение от Brainbug (??) on 08-Окт-04, 21:20  (MSK)
	>>подскажите >>каким образом можно автоматически, скажем на 30 минут, забанить IP с которого >>происходят попытки зарегистрироваться на ssh под любым пользователем? > >Я использую этот скрипт и паре с shorewall'ом... хотя это всё равно... > > >Тебе надо изменить только две строчки, которые вписывают вражеский IP в firewall: > >BLACKLIST="/etc/shorewall/blacklist" и echo "$IP" >> $BLACKLIST > >Скрипт ssh_block.sh >======================================================================= >#!/bin/sh ># >LOG="/var/lig/messasges"   # Log-file Server'a >BLACKLIST="/etc/shorewall/blacklist" >for ARG in "Failed" "Did" >do > while [ ! -z "`cat $LOG | grep $ARG | cut >-d : -f 7 |cut -d " " -f 1`" ] > > do >   IP="`cat $LOG | grep $ARG | cut -d : >-f 7 |cut -d " " -f 1`" > echo "$IP" >> $BLACKLIST > sed -e "s/$ARG/XXXXXXXXX/g" $LOG > ip_tmp && cp ip_tmp $LOG; >   touch flag; > done >done ># >if [ -f flag ]; then > shorewall restart > rm -f flag; >fi >===================================================================== > >cp ssh_block.sh /usr/local/sbin >chmod 755 /usr/local/sbin/ssh_block.sh > >/etc/crontab: >-*/1 * * * *    root    /usr/local/sbin/ssh_block.sh >/dev/null 2>&1 A esli vrazeskij IP poddelnij ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "ssh"
	Сообщение от Gennadi (ok) on 08-Окт-04, 21:55  (MSK)
	>>>подскажите >>>каким образом можно автоматически, скажем на 30 минут, забанить IP с которого >>>происходят попытки зарегистрироваться на ssh под любым пользователем? >> >>Я использую этот скрипт и паре с shorewall'ом... хотя это всё равно... >> >> >>Тебе надо изменить только две строчки, которые вписывают вражеский IP в firewall: >> >>BLACKLIST="/etc/shorewall/blacklist" и echo "$IP" >> $BLACKLIST >> >>Скрипт ssh_block.sh >>======================================================================= >>#!/bin/sh >># >>LOG="/var/lig/messasges"   # Log-file Server'a >>BLACKLIST="/etc/shorewall/blacklist" >>for ARG in "Failed" "Did" >>do >> while [ ! -z "`cat $LOG | grep $ARG | cut >>-d : -f 7 |cut -d " " -f 1`" ] >> >> do >>   IP="`cat $LOG | grep $ARG | cut -d : >>-f 7 |cut -d " " -f 1`" >> echo "$IP" >> $BLACKLIST >> sed -e "s/$ARG/XXXXXXXXX/g" $LOG > ip_tmp && cp ip_tmp $LOG; >>   touch flag; >> done >>done >># >>if [ -f flag ]; then >> shorewall restart >> rm -f flag; >>fi >>===================================================================== >> >>cp ssh_block.sh /usr/local/sbin >>chmod 755 /usr/local/sbin/ssh_block.sh >> >>/etc/crontab: >>-*/1 * * * *    root    /usr/local/sbin/ssh_block.sh >/dev/null 2>&1 > >A esli vrazeskij IP poddelnij ? Здесь я коротко описАл работу скрипта для Веб-сервера, но ssh_block.sh работает по тому же принципу - анализ лог-файлов http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic&t=27 Для попытки зайти с консоли sshd: Oct  8 15:39:55 router sshd[17744]: Failed keyboard-interactive/pam for root from ::ffff:212.202.228.14 port 36966 ssh2 Oct  8 15:39:55 router sshd[17744]: Connection closed by ::ffff:212.202.228.14 Лог от сканирования Nessus'ом: Oct  8 10:33:03 router sshd[4333]: Did not receive identification string from ::ffff:212.202.228.14 Oct  8 10:33:13 router sshd[4358]: Did not receive identification string from ::ffff:212.202.228.14 Oct  8 10:33:23 router sshd[4359]: Did not receive identification string from ::ffff:212.202.228.14 Очень помонает от сопливых хацкеров... PC: Держать блокировку долго не имеет смысла т.к. при повторной попытке скрипт заблокирует IP опять.... да и IP в основном динамические...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "ssh"
Сообщение от chip (??) on 09-Окт-04, 17:15  (MSK)
>подскажите >каким образом можно автоматически, скажем на 30 минут, забанить IP с которого >происходят попытки зарегистрироваться на ssh под любым пользователем? в /etc/hosts.allow: sshd: XXX.YYY.ZZZ.XXX/255.255.255.240: ALLOW sshd: ALL \         : spawn (/bin/echo "sshd on %A" | \         /usr/bin/mail -s "tcpd\: %a ACCESS DENIED" mailto@domain.tld)& \         : DENY , где XXX.YYY.ZZZ.XXX/255.255.255.240 - твоя сеть у данного варианта много "-"сов, однако...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "ssh"
	Сообщение от 999 (ok) on 10-Окт-04, 16:02  (MSK)
	>>подскажите >>каким образом можно автоматически, скажем на 30 минут, забанить IP с которого >>происходят попытки зарегистрироваться на ssh под любым пользователем? >в /etc/hosts.allow: >sshd: XXX.YYY.ZZZ.XXX/255.255.255.240: ALLOW >sshd: ALL \ >        : spawn (/bin/echo "sshd >on %A" | \ >        /usr/bin/mail -s "tcpd\: %a >ACCESS DENIED" mailto@domain.tld)& \ >        : DENY > >, где XXX.YYY.ZZZ.XXX/255.255.255.240 - твоя сеть >у данного варианта много "-"сов, однако... Да, это точно не подходит. Хочется, все таки, самому доступ иметь. А это как я понимаю залочит все кроме того что я разрешу. Не подходит.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "ssh"
Сообщение от 999 (ok) on 10-Окт-04, 16:03  (MSK)
Да, забыл сказать. Система FreeBSD + IPFW.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.