|
| 1.2, Щекн Итрч (ok), 00:33, 14/08/2009 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
Тоже спасибо. А то sshit regexp'ов не имеет для распознавания ftp брутов, а ума и трудолюбия дописать у меня не хватает. Хорошо было бы ftp-серверы наделить опцией: "писать в auth.log сообщения об отказе в аутентификации формате sshd". Было бы сверхудобно.
| | |
| |
| 2.8, Andrey Mitrofanov (?), 13:54, 14/08/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
>Хорошо было
>бы ftp-серверы наделить опцией: "писать в auth.log сообщения об отказе в
>аутентификации формате sshd".
А давайте этому научим(*) соотв.модули PAM, и _волшебным_ образом fail2ban-у и аналогам "научатся" login, telnet, всякие pop3d и прочие.
Ой, а в опенбсд пам-то есть? $)
(*)И да -- пусть кто-нибудь другой.
| | |
| |
| 3.13, Щекн Итрч (ok), 04:06, 15/08/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
этому научим(*) - мысль есть, денег нет. Но, вообще, созреваю. fail2ban - целует морковь взасос или, по простому, сосёт. Нужно переписывать sshit. Только тупой | в сканер логов дает эффект. РАМ, волшебным образом, бесполезен для диагностирования брутов.
| | |
|
|
| 1.7, 0lpa (?), 12:27, 14/08/2009 [ответить] [﹢﹢﹢] [ · · · ] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
А смысл держать таблицу в файле, да еще сохранять ее при перезагрузке?
Можно просто каждый час по cron-у ее чистить, так по-моему проще, да и для честных юзеров какого-нибудь прокси может случиться вечный бан.
| | |
| 1.11, Аноним (-), 20:12, 14/08/2009 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
ЖЖоте, а еще десяток альтернативных вариантов слабо написать? Или теперь каждый кто пишет заметки , должен расписывать все варианты что бы его не обливали грязью и было советами.
| | |
| 1.20, daemon17 (??), 14:11, 09/11/2011 [ответить] [﹢﹢﹢] [ · · · ] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
 У меня работает скрипт по крону анализируя лог ftp
и никаких списков не надо держать.
Больше 3-х неправильных заходов и пошел в bruteforce.
=================================
#!/bin/sh
# add IP to PF table bruteforce
#
logfile="/var/log/xferlog"
grep "Authentication failed" ${logfile} >/dev/null 2>&1
if [ $? -eq 0 ]; then
set 'grep "Authentication failed" ${logfile}|sed 's/.*\@//; s/).*//'|uniq -c'
while [ $# -ge 2 ]; do
ip=$2
count=$1
if [ $count -ge 3 ]; then
/sbin/pfctl -t bruteforce -T show | grep $ip
if [ $? -ne 0 ]; then
/sbin/pfctl -t bruteforce -T add $ip
echo "Address $ip add to table PF \"bruteforce\"" >> /tmp/bruteforce
fi
fi
shift 2
done
fi
if [ -f /tmp/bruteforce ]; then
cat /tmp/bruteforce | mail -s "Bruteforce" root; rm -rf /tmp/bruteforce
fi
/sbin/pfctl -t bruteforce -T expire 86400
exit
| | |
|
