Entra

View Full Version : Info su blocco utenti.........


stefanoxjx
04-07-2005, 10:45
Ciao a tutti, siccome nei log del mio serverino ho file lunghissime di cose come queste:

Jun 26 13:51:55 server sshd[31672]: Illegal user sarah from ::ffff:217.79.111.206
Jun 26 13:51:55 server sshd[31674]: Illegal user sarah from ::ffff:217.79.111.206
Jun 26 13:51:56 server sshd[31676]: Illegal user sarah from ::ffff:217.79.111.206
Jun 26 13:51:57 server sshd[31678]: Illegal user sarah from ::ffff:217.79.111.206
Jun 26 13:51:58 server sshd[31680]: Illegal user sarah from ::ffff:217.79.111.206
Jun 26 13:51:59 server sshd[31682]: Illegal user sarah from ::ffff:217.79.111.206
Jun 26 13:52:00 server sshd[31684]: Illegal user sarah from ::ffff:217.79.111.206
Jun 26 13:52:00 server sshd[31686]: Illegal user jason from ::ffff:217.79.111.206
Jun 26 13:52:01 server sshd[31688]: Illegal user jason from ::ffff:217.79.111.206
Jun 26 13:52:02 server sshd[31690]: Illegal user jason from ::ffff:217.79.111.206
Jun 26 13:52:03 server sshd[31692]: Illegal user jason from ::ffff:217.79.111.206
Jun 26 13:52:04 server sshd[31694]: Illegal user jason from ::ffff:217.79.111.206
Jun 26 13:52:05 server sshd[31696]: Illegal user jason from ::ffff:217.79.111.206
Jun 26 13:52:05 server sshd[31698]: Illegal user justin from ::ffff:217.79.111.206
Jun 26 13:52:06 server sshd[31700]: Illegal user justin from ::ffff:217.79.111.206
Jun 26 13:52:07 server sshd[31702]: Illegal user justin from ::ffff:217.79.111.206
Jun 26 13:52:08 server sshd[31704]: Illegal user justin from ::ffff:217.79.111.206
Jun 26 13:52:09 server sshd[31706]: Illegal user justin from ::ffff:217.79.111.206
Jun 26 13:52:09 server sshd[31708]: Illegal user justin from ::ffff:217.79.111.206
Jun 26 13:52:10 server sshd[31710]: Illegal user jessica from ::ffff:217.79.111.206
Jun 26 13:52:11 server sshd[31712]: Illegal user jessica from ::ffff:217.79.111.206
Jun 26 13:52:12 server sshd[31714]: Illegal user jessica from ::ffff:217.79.111.206
Jun 26 13:52:13 server sshd[31716]: Illegal user jessica from ::ffff:217.79.111.206
Jun 26 13:52:13 server sshd[31718]: Illegal user jessica from ::ffff:217.79.111.206
Jun 26 13:52:14 server sshd[31720]: Illegal user jessica from ::ffff:217.79.111.206
Jun 26 13:52:15 server sshd[31722]: Illegal user peter from ::ffff:217.79.111.206
Jun 26 13:52:16 server sshd[31724]: Illegal user peter from ::ffff:217.79.111.206
Jun 26 13:52:17 server sshd[31726]: Illegal user peter from ::ffff:217.79.111.206
Jun 26 13:52:18 server sshd[31728]: Illegal user peter from ::ffff:217.79.111.206
Jun 26 13:52:18 server sshd[31730]: Illegal user peter from ::ffff:217.79.111.206
Jun 26 13:52:19 server sshd[31732]: Illegal user peter from ::ffff:217.79.111.206
Jun 26 13:52:20 server sshd[31734]: Illegal user peter from ::ffff:217.79.111.206
Jun 26 13:52:21 server sshd[31736]: Illegal user sam from ::ffff:217.79.111.206
Jun 26 13:52:22 server sshd[31738]: Illegal user sam from ::ffff:217.79.111.206
Jun 26 13:52:22 server sshd[31740]: Illegal user sam from ::ffff:217.79.111.206
Jun 26 13:52:23 server sshd[31742]: Illegal user sam from ::ffff:217.79.111.206
Jun 26 13:52:24 server sshd[31744]: Illegal user sam from ::ffff:217.79.111.206
Jun 26 13:52:25 server sshd[31746]: Illegal user sam from ::ffff:217.79.111.206
Jun 26 13:52:26 server sshd[31748]: Illegal user sam from ::ffff:217.79.111.206
Jun 26 13:52:26 server sshd[31750]: Illegal user scott from ::ffff:217.79.111.206
Jun 26 13:52:27 server sshd[31752]: Illegal user scott from ::ffff:217.79.111.206
Jun 26 13:52:28 server sshd[31754]: Illegal user scott from ::ffff:217.79.111.206
Jun 26 13:52:29 server sshd[31756]: Illegal user scott from ::ffff:217.79.111.206
Jun 26 13:52:30 server sshd[31758]: Illegal user scott from ::ffff:217.79.111.206
Jun 26 13:52:31 server sshd[31760]: Illegal user scott from ::ffff:217.79.111.206
Jun 26 13:52:32 server sshd[31762]: Illegal user scott from ::ffff:217.79.111.206
Jun 26 13:52:32 server sshd[31764]: Illegal user andy from ::ffff:217.79.111.206
Jun 26 13:52:33 server sshd[31766]: Illegal user andy from ::ffff:217.79.111.206
Jun 26 13:52:34 server sshd[31768]: Illegal user andy from ::ffff:217.79.111.206
Jun 26 13:52:35 server sshd[31770]: Illegal user andy from ::ffff:217.79.111.206

volevo sapere se è possibile fare in modo che dopo un certo numero di tentativi falliti, si potesse bloccare (possibilmente per un determinato tempo) un ip specifico.
Grazie.
Ciao.

WebWolf
04-07-2005, 11:10
Se vuoi protestare, l'IP si rifesrisce a questo provider:

http://www.griffin.com/

Poi non so se sia possibile fare uno script che legga messages con un flag che conti lo stesso ip e si attivi. Dovresti escludere il tuo ip perchè dopo un po' che ti connetti bloccherebbe anche te.

Il problema è comunque la porta ssh aperta. Se non hai necessità di usare i servisi da remoto chiudila e bye bye a tutti.

Strano pero' che nessuno abbia tentato di entrare come root. Secondo me hanno sbagliato l'IP nel ssh.

Un attacco di forza di solito prova su root e dura anche mezz'ora.

Oppure da iptables seghi via quell'IP se vedi che ci provano ancora.

stefanoxjx
04-07-2005, 11:22
Se vuoi protestare, l'IP si rifesrisce a questo provider:

http://www.griffin.com/


Si, ho già controllato, però siccome ho moltissimi attacchi di questo tipo, dovrei perdere una giornata solo per mandare via i reclami ai vari providers :D


Poi non so se sia possibile fare uno script che legga messages con un flag che conti lo stesso ip e si attivi. Dovresti escludere il tuo ip perchè dopo un po' che ti connetti bloccherebbe anche te.

Spero sia possibile



Il problema è comunque la porta ssh aperta. Se non hai necessità di usare i servisi da remoto chiudila e bye bye a tutti.


No, ho bisogno di ssh, altrimenti avrei già chiuso la porta e il servizio.


Strano pero' che nessuno abbia tentato di entrare come root. Secondo me hanno sbagliato l'IP nel ssh.


Si, ci hanno provato, solo che l'accesso ad ssh come root è inibito e solo un determinato utente può accedere al servizio ssh.


Un attacco di forza di solito prova su root e dura anche mezz'ora.


Quello che ho postato, è solo una piccolissima parte di quell'attacco.


Oppure da iptables seghi via quell'IP se vedi che ci provano ancora.


Il problema è che ho moltissimi attacchi di questo tipo e quindi diventa impossibile fermare tutti gli ip pericolosi ;)

DeadLock
04-07-2005, 11:25
Ciao a tutti, siccome nei log del mio serverino ho file lunghissime di cose come queste:

Jun 26 13:51:55 server sshd[31672]: Illegal user sarah from ::ffff:217.79.111.206
[...]

volevo sapere se è possibile fare in modo che dopo un certo numero di tentativi falliti, si potesse bloccare (possibilmente per un determinato tempo) un ip specifico.

ho cercato un pochino con google qlc modulo da usare con pam per far sta cosa ma non ho ancora trovano niente :|
cmq
come suggerito anche da webwolf potresti intanto (come soluzione tampone) adottare un oscript che ti recupera gli ip da /var/log/messages, poi magari li aggiungi ad una chain per il drop :)

per recuperare gli ip puoi usare un qlc del tipo:

grep -E 'sshd\[[0-9]*\]:[ ]*Illegal user' /var/log/messages | sed 's/::ffff://' | awk '{print $NF}' | sort | uniq


magari controlla la reg exp :confused:

abbai :)

stefanoxjx
04-07-2005, 12:01
ho cercato un pochino con google qlc modulo da usare con pam per far sta cosa ma non ho ancora trovano niente :|
cmq
come suggerito anche da webwolf potresti intanto (come soluzione tampone) adottare un oscript che ti recupera gli ip da /var/log/messages, poi magari li aggiungi ad una chain per il drop :)

per recuperare gli ip puoi usare un qlc del tipo:

grep -E 'sshd\[[0-9]*\]:[ ]*Illegal user' /var/log/messages | sed 's/::ffff://' | awk '{print $NF}' | sort | uniq


magari controlla la reg exp :confused:

abbai :)

Provo a vedere se riesco a combinare qualcosa.
Grazie della dritta.