The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Зашита ftp сервера от атак типа BruteForce "
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Зашита ftp сервера от атак типа BruteForce "  
Сообщение от Anton (??) on 16-Авг-07, 23:06 
Подскажите пожалуйста, какие существуют программы(скрипты), которые после определенного числа неудачных попыток авторизации на proftpd прописывают блокировку ip атакующего ввиде правила файервола?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Зашита ftp сервера от атак типа BruteForce "  
Сообщение от denb (??) on 17-Авг-07, 06:08 
>Подскажите пожалуйста, какие существуют программы(скрипты), которые после определенного числа неудачных попыток авторизации
>на proftpd прописывают блокировку ip атакующего ввиде правила файервола?

Как раз то что тебе нужно..
http://gennadi.dyn.ee/SITE=beforeAuth&sessionID=/d555381f2d072d6469e14dc98adb4175=open/modules.php?name=Forums&file=viewtopic&t=27

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Зашита ftp сервера от атак типа BruteForce "  
Сообщение от Ivan email(??) on 17-Авг-07, 12:32 
>Подскажите пожалуйста, какие существуют программы(скрипты), которые после определенного числа неудачных попыток авторизации
>на proftpd прописывают блокировку ip атакующего ввиде правила файервола?

Если у тебя ftp для узкого круга избранных, то очень хорошо поможет решение настроить для ftp порт отличный от стандартного.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Зашита ftp сервера от атак типа BruteForce "  
Сообщение от ТинПу on 18-Авг-07, 20:16 
>Если у тебя ftp для узкого круга избранных, то очень хорошо поможет
>решение настроить для ftp порт отличный от стандартного.

Security by Obscurity ...  как задолбали такие "мегаэксперты"! Ну затратит мой nmap не 0.1 сек на скан а 1 сек, дальше что?

Если брутфорс реальная проблема - устанавливай что то типа fall2ban - оно будет IP переборщиков пихать на $сколько_надо_времени в drop правило фаервола ... Ну и поставь софт который не допускает слабых паролей, не те сейчас времена чтобы пасс <6 буцков пользовать :-\

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Зашита ftp сервера от атак типа BruteForce "  
Сообщение от Ivan email(??) on 21-Авг-07, 15:00 
>[оверквотинг удален]
>>решение настроить для ftp порт отличный от стандартного.
>
>Security by Obscurity ...  как задолбали такие "мегаэксперты"! Ну затратит мой
>nmap не 0.1 сек на скан а 1 сек, дальше что?
>
>
>Если брутфорс реальная проблема - устанавливай что то типа fall2ban - оно
>будет IP переборщиков пихать на $сколько_надо_времени в drop правило фаервола ...
>Ну и поставь софт который не допускает слабых паролей, не те
>сейчас времена чтобы пасс <6 буцков пользовать :-\

Вы чего такой злой? :-) Будьте добрее и жизнь у вас изменится! :)))) Что касается моего совета. Здесь, похоже вы не поняли смысла идеи. Ваш nmap действительно затратит времени всего лишь не намногим больше чем при стандартном скане. НО! Это правда только в том случае, если мой сайт/сервер вам был специально заказан для взлома. Тогда, согласитесь даже ваш fall2ban не поможет. Потому как вы наверное ломать уже будите не брут форсом. Так ведь ;)?
Если же к нам ломится обычный кулхаЦкер (йо-камон, пальцы веером, штаны типа "аля мотня"), то эта защита довольна эффективна, потому как такие ребята не сканят (ОБЫЧНО)  по ВСЕМ портам выбранного им ip диапазона, а настраивают свои, йо-комон, nmapы только на известные порты известных служб... В этом случае они ничего не увидят. Адрес просто будет молчать, узел для них останется неизвестным, никаких дальнейших атак не будет. У вас есть в управлении сервера смотрящие в и-нет с ssh? попробуйте эксперимент. Сначала пусть ваш сервер постоит, смотря 22 портом в и-нет неделю, потом перенастройте ssh на какой-нибудь 43891 порт и посмотри что будет за месяц. :)) Почему я пишу здесь про кулхаЦкеров? Потому что взрослые люди не используют атаки типа bruoe force. Кстати, почему вы не сразу это поняли, а мне приходится вон сколько всего расписывать? ;))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Зашита ftp сервера от атак типа BruteForce "  
Сообщение от Lemegeton (ok) on 20-Авг-07, 13:18 
>Подскажите пожалуйста, какие существуют программы(скрипты), которые после определенного числа неудачных попыток авторизации
>на proftpd прописывают блокировку ip атакующего ввиде правила файервола?

Самописные скрипты существуют. Ничего сложного нет, возможности - неограниченные.

В /etc/syslog.conf делаем пайп на ут фашилити, в которую пишет FTP-сервер (если он, конечно, пишет туда, если нет - другой разговор). Например:

ftp.info                |exec /usr/local/script/BruteForceProtection.plx

Теперь весь лог будет пайпиться в скрипт BruteForceProtection.plx.

Ну и внутри уже создаем скрипт так, как нам нужно... Например: перловый скрипт, сервер PureFTP, файервол - PF.

...
if (/([0-9]+[.][0-9]+[.][0-9]+[.][0-9]+)[)]..WARNING..Authentication failed for user.*/) {
   if ($ipcount{$1}++ > 10) {
      exec "echo block in quick from ".$1." to any | /sbin/pfctl -mf -"
   }
}
...

Это очень например, может даже с ошибками синтаксиса, но дальнейшее зависит от извращенности скриптописателя. ;)

Накинуть сюда хранение в DBD таблицах, авто-разбанивание, белые списки, статистика, все, что только фантазия подскажет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Зашита ftp сервера от атак типа BruteForce "  
Сообщение от misteras (ok) on 20-Авг-07, 14:21 
>[оверквотинг удален]
>".$1." to any | /sbin/pfctl -mf -"
>   }
>}
>...
>
>Это очень например, может даже с ошибками синтаксиса, но дальнейшее зависит от
>извращенности скриптописателя. ;)
>
>Накинуть сюда хранение в DBD таблицах, авто-разбанивание, белые списки, статистика, все, что
>только фантазия подскажет.

Идея то ясна, поставил bruteblock не пошла, видно самому на shell придется написать

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Зашита ftp сервера от атак типа BruteForce "  
Сообщение от Lemegeton (ok) on 20-Авг-07, 15:55 
>[оверквотинг удален]
>>...
>>
>>Это очень например, может даже с ошибками синтаксиса, но дальнейшее зависит от
>>извращенности скриптописателя. ;)
>>
>>Накинуть сюда хранение в DBD таблицах, авто-разбанивание, белые списки, статистика, все, что
>>только фантазия подскажет.
>
>Идея то ясна, поставил bruteblock не пошла, видно самому на shell придется
>написать

bruteblock использует описанный принцип, может, событие не попадает под условия? ;)  Если есть время, лучше попробовать руками - опыт - вещь не заменимая ни чем. Писать такой скрипт на шелле тяжеловато, лучше Python или Perl (IMHO).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Зашита ftp сервера от атак типа BruteForce "  
Сообщение от misteras (ok) on 20-Авг-07, 18:34 
>[оверквотинг удален]
>>>Накинуть сюда хранение в DBD таблицах, авто-разбанивание, белые списки, статистика, все, что
>>>только фантазия подскажет.
>>
>>Идея то ясна, поставил bruteblock не пошла, видно самому на shell придется
>>написать
>
>bruteblock использует описанный принцип, может, событие не попадает под условия? ;)  
>Если есть время, лучше попробовать руками - опыт - вещь не
>заменимая ни чем. Писать такой скрипт на шелле тяжеловато, лучше Python
>или Perl (IMHO).

Да перлом наверное, будет время подумаю. У bruteblock концепция хороша формируется список IP на основе данных логов. А дальше просто все IP добавляются в таблицу
для IPFW. В IPFW уже прописано соотвествующее правило

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Зашита ftp сервера от атак типа BruteForce "  
Сообщение от domas email(??) on 20-Авг-07, 14:58 
Зачем такие сложности, тем более с PF?
Можно проще сделать:
http://www.opennet.me/openforum/vsluhforumID10/3376.html - тут про dos на http, но можно и к tcp 21 применить.
Я так, например, ftp и ssh защищаю от брутфорса.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Зашита ftp сервера от атак типа BruteForce "  
Сообщение от Lemegeton (ok) on 20-Авг-07, 15:56 
>Зачем такие сложности, тем более с PF?
>Можно проще сделать:
>http://www.opennet.me/openforum/vsluhforumID10/3376.html - тут про dos на http, но можно и к tcp
>21 применить.
>Я так, например, ftp и ssh защищаю от брутфорса.

Если атакующий подбирает в 1 (один) процесс, то такой способ, увы, не поможет. И логи все равно гигантские. (

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Зашита ftp сервера от атак типа BruteForce "  
Сообщение от domas email(??) on 20-Авг-07, 16:45 
>Если атакующий подбирает в 1 (один) процесс, то такой способ, увы, не
>поможет. И логи все равно гигантские. (

1. Для этого существет величина максимального количества попыток залогинится в рамках одного соединения. Так что не аргумент...
2. Как понять - логи гигантские? В обоих приведенных способах объем логов будет примерно одинаков, смотря какой критерий для бана выставить. Для того чтобы их парсить, да будут гигантские, для реализации защиты средствами pf рамер логов значения не имеет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру