|
|
3.13, Щекн Итрч (ok), 04:06, 15/08/2009 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
этому научим(*) - мысль есть, денег нет. Но, вообще, созреваю. fail2ban - целует морковь взасос или, по простому, сосёт. Нужно переписывать sshit. Только тупой | в сканер логов дает эффект. РАМ, волшебным образом, бесполезен для диагностирования брутов.
| |
|
|
1.20, daemon17 (??), 14:11, 09/11/2011 [ответить] [﹢﹢﹢] [ · · · ] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
У меня работает скрипт по крону анализируя лог ftp
и никаких списков не надо держать.
Больше 3-х неправильных заходов и пошел в bruteforce.
=================================
#!/bin/sh
# add IP to PF table bruteforce
#
logfile="/var/log/xferlog"
grep "Authentication failed" ${logfile} >/dev/null 2>&1
if [ $? -eq 0 ]; then
set 'grep "Authentication failed" ${logfile}|sed 's/.*\@//; s/).*//'|uniq -c'
while [ $# -ge 2 ]; do
ip=$2
count=$1
if [ $count -ge 3 ]; then
/sbin/pfctl -t bruteforce -T show | grep $ip
if [ $? -ne 0 ]; then
/sbin/pfctl -t bruteforce -T add $ip
echo "Address $ip add to table PF \"bruteforce\"" >> /tmp/bruteforce
fi
fi
shift 2
done
fi
if [ -f /tmp/bruteforce ]; then
cat /tmp/bruteforce | mail -s "Bruteforce" root; rm -rf /tmp/bruteforce
fi
/sbin/pfctl -t bruteforce -T expire 86400
exit
| |
|