|
| 1.2, Щекн Итрч (ok), 00:33, 14/08/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Тоже спасибо. А то sshit regexp'ов не имеет для распознавания ftp брутов, а ума и трудолюбия дописать у меня не хватает. Хорошо было бы ftp-серверы наделить опцией: "писать в auth.log сообщения об отказе в аутентификации формате sshd". Было бы сверхудобно.
| | |
| |
| 2.8, Andrey Mitrofanov (?), 13:54, 14/08/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Хорошо было
>бы ftp-серверы наделить опцией: "писать в auth.log сообщения об отказе в
>аутентификации формате sshd".
А давайте этому научим(*) соотв.модули PAM, и _волшебным_ образом fail2ban-у и аналогам "научатся" login, telnet, всякие pop3d и прочие.
Ой, а в опенбсд пам-то есть? $)
(*)И да -- пусть кто-нибудь другой.
| | |
| |
| 3.13, Щекн Итрч (ok), 04:06, 15/08/2009 [^] [^^] [^^^] [ответить]
| +/– |
этому научим(*) - мысль есть, денег нет. Но, вообще, созреваю. fail2ban - целует морковь взасос или, по простому, сосёт. Нужно переписывать sshit. Только тупой | в сканер логов дает эффект. РАМ, волшебным образом, бесполезен для диагностирования брутов.
| | |
|
|
| |
| 2.4, charon (ok), 12:13, 14/08/2009 [^] [^^] [^^^] [ответить]
| +/– |
есть. Тесты на ВПС показывают, что fail2ban потребляет заметное количество ресурсов, поэтому лучше не плодить сущности.
| | |
| 2.5, Анонимус. (?), 12:14, 14/08/2009 [^] [^^] [^^^] [ответить]
| +/– | |
Тебе альтернативный вариант описали, это не значит что все забыли что такое fail2ban .
И не все должны им пользоваться.
| | |
| 2.15, Щекн Итрч (ok), 04:09, 15/08/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>А разве "во FreeBSD или OpenBSD" нет простого fail2ban?
А нарисуйте-ка мне how-to для брута против ftp?
Буду искренне признателен.
| | |
|
| 1.7, 0lpa (?), 12:27, 14/08/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А смысл держать таблицу в файле, да еще сохранять ее при перезагрузке?
Можно просто каждый час по cron-у ее чистить, так по-моему проще, да и для честных юзеров какого-нибудь прокси может случиться вечный бан.
| | |
| |
| |
| |
| |
| 5.17, Touch (??), 15:24, 17/08/2009 [^] [^^] [^^^] [ответить]
| +/– |
угум .. нет PF'а - нет пролем с натом GRE и перебором паролей ..
| | |
| |
| 6.18, Touch (??), 15:24, 17/08/2009 [^] [^^] [^^^] [ответить]
| +/– |
>угум .. нет PF'а - нет пролем с натом GRE и перебором
>паролей ..
нет проблем
| | |
|
|
|
|
|
| 1.11, Аноним (-), 20:12, 14/08/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
ЖЖоте, а еще десяток альтернативных вариантов слабо написать? Или теперь каждый кто пишет заметки , должен расписывать все варианты что бы его не обливали грязью и было советами.
| | |
| 1.16, Аноним (-), 13:02, 15/08/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Манов ещё так много, а все нужно обязательно поместить на опеннет в виде заметок...
| | |
| 1.20, daemon17 (??), 14:11, 09/11/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 У меня работает скрипт по крону анализируя лог ftp
и никаких списков не надо держать.
Больше 3-х неправильных заходов и пошел в bruteforce.
=================================
#!/bin/sh
# add IP to PF table bruteforce
#
logfile="/var/log/xferlog"
grep "Authentication failed" ${logfile} >/dev/null 2>&1
if [ $? -eq 0 ]; then
set 'grep "Authentication failed" ${logfile}|sed 's/.*\@//; s/).*//'|uniq -c'
while [ $# -ge 2 ]; do
ip=$2
count=$1
if [ $count -ge 3 ]; then
/sbin/pfctl -t bruteforce -T show | grep $ip
if [ $? -ne 0 ]; then
/sbin/pfctl -t bruteforce -T add $ip
echo "Address $ip add to table PF \"bruteforce\"" >> /tmp/bruteforce
fi
fi
shift 2
done
fi
if [ -f /tmp/bruteforce ]; then
cat /tmp/bruteforce | mail -s "Bruteforce" root; rm -rf /tmp/bruteforce
fi
/sbin/pfctl -t bruteforce -T expire 86400
exit
| | |
|