форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Раздел полезных советов: Автоблокирование атак по подбору па..."

Сообщение от auto_tips on 27-Май-07, 12:56

Устанавливаем sshguard из портов:    cd /usr/ports/security/sshguard    make install clean WITH_PF=yes Настраиваем перенаправление логов в sshguard    echo "auth.info;authpriv.info |exec /usr/local/sbin/sshguard" >> /etc/syslog.conf Правила блокировки по таблице, /etc/pf.conf    internet="vlan50"    table persist    block in quick on $internet from label "ssh bruteforce" Перечитываем измененные файлы конфигурации PF и syslogd:    pfctl -f /etc/pf.conf    /etc/rc.d/syslogd restart Тестируем попробовав подобрать пароли:    shguard[1048576]: Started successfully [(a,p,s)=(4, 420, 1200)], now ready to scan.    sshd[1048577]: Invalid user administrador from 21.138.24.51    sshd[1048579]: Invalid user publica from 21.138.24.51    sshd[1048580]: Invalid user rbecerril from 21.138.24.51    sshd[1048581]: Invalid user rvences from 21.138.24.51    sshguard[1048582]: Blocking 21.138.24.51: 4 failures over 15 seconds.    shguard[1048583]: Releasing 21.138.24.51 after 490 seconds. URL: http://brj.pp.ru/ Обсуждается: http://www.opennet.dev/tips/info/1424.shtml

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по ответам | RSS]

	1. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от xa4a on 27-Май-07, 12:56
	в линуксе делаю так: iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 4 --rttl --name SSH --rsource -j LOG --log-prefix "SSH_brute_force " iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 4 --rttl --name SSH --rsource -j DROP
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от Samm (??) on 27-Май-07, 19:52
	а для pf есть bruteblock
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от akvazar on 28-Май-07, 09:12
	Эт конечно решение, но не проще(правильнее) ли пойти от обратного и закрыть ssh изначально за фаером, а открывать тем же порткнокером? Если кулхацкеры не увидят ssh вообще, то и щимиться не будут :)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от arachnid (??) on 28-Май-07, 11:49
	а можно чуть поподробнее? что за порткнокер?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от MoHaX (ok) on 28-Май-07, 12:06
	А мне хватает изменения стандартного порта. Брутфорсов на ссх не наблюдал уже давно...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от akvazar on 28-Май-07, 12:31
	/usr/ports/security/knock knockd is a port-knock server. It listens to all traffic on an ethernet (or PPP) interface, looking for special "knock" sequences of port-hits. A client makes these port-hits by sending a TCP (or UDP) packet to a port on the server. This port need not be open -- since knockd listens at the link-layer level, it sees all traffic even if it's destined for a closed port. When the server detects a specific sequence of port-hits port-hits, it runs a command defined in its configuration file. This can be used to open up holes in a firewall for quick access.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от akvazar on 28-Май-07, 12:34
	Видимо ваши кулхацкеры нмап не проходили :)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от Andrey Mitrofanov on 28-Май-07, 12:45
	> что за порткнокер? "port knocking" ~ Способ доступа/опознавания хостом без открытых для соединения наружу tcp/ip портов... http://opennet.ru/search.shtml?exclude=index|/man.shtml&words=port+knocking http://en.wikipedia.org/wiki/Port_knocking
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от MoHaX (ok) on 28-Май-07, 13:10
	Видимо я кулхацкерам нафик не нужен, а от всяких роботов помогает...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	10. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от niger (??) on 28-Май-07, 13:33
	Если использовать PF то разумнее использовать An example rule: pass in on $ext_if proto tcp to $web_server \     port www flags S/SA keep state \     (max 200, source-track rule, max-src-nodes 100, max-src-states 3) The rule above defines the following behavior:      Limit the absolute maximum number of states that this rule can create to 200      Enable source tracking; limit state creation based on states created by this rule only      Limit the maximum number of nodes that can simultaneously create state to 100      Limit the maximum number of simultaneous states per source IP to 3 потом по крону чистить таблицу. В обсд можно без крона.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	11. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от Аноним on 28-Май-07, 15:33
	DenyHosts = рулез
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	12. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от Ара on 28-Май-07, 16:58
	Или вообще сменить дефолтовый 22 на 54187?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	13. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от Ара on 28-Май-07, 16:59
	Пока писал, MoHaХ за меня ответил.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	14. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от dvarkin on 28-Май-07, 20:30
	echo "sshd: EXCEPT x.x.x.x" >> /etc/hosts.deny
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	15. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от Skif (??) on 29-Май-07, 13:23
	или так :) ###number 1 block drop in quick on $ext_if from <ssh-bruteforce> ###number 2 pass in on $ext_if proto tcp from any to $ext_if) port ssh flags S/SA keep state (max-src-conn-rate 3/30, overload <ssh-bruteforce> flush global) смотреть список адресов pfctl -T show -t ssh-bruteforce
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	16. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от drongous (??) on 29-Май-07, 15:01
	Ответ чемберлена. Читаем тут: "Simple portknocking daemons as knockd are vulnerable because a sniffer may recover which ports where knocked. A better solution is Cryptknock ([WWW] http://cryptknock.sourceforge.net/) Cryptknock's description says: "Cryptknock is an encrypted port knocking tool. Unlike other port knockers which use TCP ports or other protocol information to signal the knock, an encrypted string is used as the knock. This makes it extremely difficult for an evesdropper to recover your knock (unlike other port knockers where tcpdump can be used to discover a port knock)."
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	17. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от evgeniy1 (ok) on 30-Май-07, 18:48
	не совсем понял - -m recent --update --seconds 180 --hitcount 4 --rttl --name SSH --rsource -j DROP блокирует на 3 мин  или на бОльшейй время?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	18. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от SunTech on 31-Май-07, 15:35
	и когда портнокер падает, достучаться до машины не реально... хорошая перспектива
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	19. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от pavel_simple (ok) on 31-Май-07, 16:02
	>и когда портнокер падает, достучаться до машины не реально... > >хорошая перспектива cron эту проблему снимает, да и чтоб портнокер падал -- ну не знаю чем его так сильно надо постараться.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	20. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от JavaScript (ok) on 03-Июн-07, 14:22
	моя делать так: /usr/ports/security/sshit/ # make install clean /usr/local/etc/sshit.conf ->     FIREWALL_TYPE = ipfw2 /etc/syslog.conf ->     auth.info;authpriv.info                         |exec /usr/local/sbin/sshit ipfw add ### deny ip from table(0) to any /etc/rc.d/syslod restart дополнительно можно: /etc/ssh/sshd_config ->     AllowUsers user1 user2 /etc/rc.d/sshd reload
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	21. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от Mike (??) on 08-Июн-07, 18:08
	[17:04][copperhead][/home/mike]#cat /etc/inetd.conf | grep sshd ssh     stream  tcp     nowait/5/10     root    /usr/sbin/sshd          sshd -i -4 не вариант более?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	22. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от Iscander (??) on 11-Июн-07, 13:58
	Есть ещё monit http://www.tildeslash.com/monit/ не cron-ом единым
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	23. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от 1 (??) on 20-Июн-07, 17:02
	незнаю...н амоих сервоках раньще постоянно пытались подобрать пароль...Но сделал мутки и после 3-ёх неудачных логинов ip блочиться на сутки...Через сутки можно пробовать опять...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	24. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от pAnTeRa on 26-Июн-07, 17:34
	А можно чуток по подробнее, возможно и не PF дойдут до такой фичи ))) Я бы с удовольствием поразбирался, благо тему подняли актуальную...или отправь хотяб к ману по заданному примеру...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	25. "Автоблокирование атак по подбору паролей (brute force) в SSH..."
	Сообщение от frey on 21-Июл-07, 20:59
	Зачем все это, pam чем не угодил?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	27. "Раздел полезных советов: Автоблокирование атак по подбору па..."
	Сообщение от XoRe (??) on 03-Авг-07, 13:48
	Кстати укажу на ещё одну альтернативу: /etc/ssh/sshd_config А в целом есть много способов снять с кошки щкуру ) Так же есть много способов автоматического блочения хулиганов.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	28. "Раздел полезных советов: Автоблокирование атак по подбору па..."
	Сообщение от Lion_Ua (ok) on 30-Сен-07, 18:16
	У меня заработало только если добавить auth.info;authpriv.info                |exec /usr/local/sbin/sshit после строки auth.info;authpriv.info               /var/log/auth.log Когда прописал в конце не работало!
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]