Freesco, NND, CDN, EOS

Jako ze ostatnio mam miliony prob wlamania przez ssh naszkrobalem male co nieco
Po 6 nieudancyh probach blokuje ip ;]


#!/bin/sh

if [ ! -r /etc/ssh/stare ]; then
touch /etc/ssh/stare
fi
rm /etc/ssh/nowe
for IP in `cat /var/log/auth | grep "Invalid user" | awk '{print $10}' | uniq` ;do
ile=`cat /var/log/auth | grep -w $IP | wc -l`
if [ $ile -gt 6 ]; then
echo $IP >> /etc/ssh/nowe
fi
done
for IP in `comm -2 -3 /etc/ssh/nowe /etc/ssh/stare` ;do
iptables -I INPUT -s $IP -p tcp -j DROP
iptables -I FORWARD -s $IP -p tcp -j DROP
iptables -I INPUT -d $IP -p tcp -j DROP
iptables -I FORWARD -d $IP -p tcp -j DROP
echo $IP >> /etc/ssh/stare
done

Caly skrypt umiescilem w /etc/ssh pod nazwa blokada
Jeszcze do /etc/rc.d/rc.local dopisalem sobie

for IP in `cat /etc/ssh/stare` ;do
iptables -I INPUT -s $IP -p tcp -j DROP
iptables -I FORWARD -s $IP -p tcp -j DROP
iptables -I INPUT -d $IP -p tcp -j DROP
iptables -I FORWARD -d $IP -p tcp -j DROP
done

i jeszcze do crona trzeba dopisac
*/5 * * * * /etc/ssh/blokada

_________________

Fajno ja też mam duuuużo prób logowania, napewno się przyda, zaraz przetestuje. A na jak długo jest banowany dany adres ip ??

Sorki, ale czy tu nie wkradł się błąd. Sam myslałem o tym, ale moja wiedza na temat skryptów w bashu dopiero pęcznieje

Pozdrówka

_________________
N 51 51 36,8 E 020 53 02,8 148,7 m npm

A nie prościej zmienić port nasłuchu średnio na standardowym miałem 3-4 próby wlamania dzienie po zmianie chyba jeszcze niebylo. (dysk stary i jak zapisywał logi hałasował wiec postanowilem z tym coś zrobić no i zmieniłem :P)

OK, mam pytanie innej natury:

Czy nie wystrczy w hosts.allow wpisac:

sshd : 192.168.0.2

A w hosts.deny:

all:all deny

??

_________________
| ArchLinux X64 2.6.29-6 (Custom) @ IBM eServer 235
| Intel Xeon 2,4GHz (x2) : 2GB RAM : 2x36GB SCSI (RAID1)
| httpd2.6 mysql exim dhcpd named proftpd stats niceshaper06
| WAN: 35|35 mb/s (GTS) @ 500+ hosts

No tak ale jak ty się bedziesz chciał dostać z zewnątrz to jak się dostaniejsz?

sorki pisalem z glowy oczywisice ze ma sie nazywac blokada albo w cronie inaczej wpisac.



wtedy nie moge kopiowac przez mc po powloce.....


Na czas nieograniczony, wystarczy zrobic skrpt ktory zdejme blokade i dopisac do crona.

_________________

host.allow :
sshd : host/ip_z_ktorej_sie_lacze

_________________
| ArchLinux X64 2.6.29-6 (Custom) @ IBM eServer 235
| Intel Xeon 2,4GHz (x2) : 2GB RAM : 2x36GB SCSI (RAID1)
| httpd2.6 mysql exim dhcpd named proftpd stats niceshaper06
| WAN: 35|35 mb/s (GTS) @ 500+ hosts

w /etc/ssh/ssh_config jest takie coś:
jak zmienisz to będzie się domyślnie łączył na inny port, MC powinien też korzystać z tego

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .

Mozliwe nie sprawdzalem, ale narazie mi sie podoba to co zrobilem

_________________

poprawka zapomnialem ze do comma trzeba posortowac

_________________

musialem comm zastapic grepem bo inaczej sie zajaczkowalo

_________________

a co się stanie jak przypadkiem spróbuję zalogować się raz z zewnątrz i sie pomylę, bo stosuję bardzo pokrętne hasło , czy wtedy ip z którego się logowałem będzie zabanowane? może warto ustawić to jakoś na 2 próby logowań

Przeczytaj jeszcze raz dwa pierwsze zadania w tym watku.

gafa

_________________
Processor Pentium 4 XEON 1,8GHz 512MB Ram (bind,mrtg,apache,php4,exim,radius-testing) 40 hostów

ja mam ustawione na 3 bledne logowania co daje 6 hasel a naprad\wde plik jest sprawdzany co 5 minut jezeli tak ustawisz w cronie wiec w ciagu 5 minut mozesz sie wiecej razy blednie zalogowac ale jak juz zszczyta plik i 3 razy bedzie zle to beret

if [ $ile -gt 3 ]; then to odpowiada za ilosc blednych logowac a wpis w cornie odpowiada jak czesto ma czytac logi z ssh

_________________

Dopiescilem skrypcik bo byl jeszcze blad



do rc.local dopisac


do crona:


jezeli chcemy odblokowac jakies ip bo nam sie zablokowaloL:


i to chyba na tyle

_________________

Dopisalem prosty skrypcik do "odbanowania" starych IP
dla skryptu czerwa.

Moze byc przydatne jezeli iptables dluzej nie jest restartowane i regulki
moglyby sie bardzo rozrosnac....


Mozna zapisac jako /etc/ssh/czysc_bany
Nadac atrybut wykonywalnosci i dopisac do crontaba (np
co 2 godziny)

Pozdrawiam

_________________
Proszę samodzielnie usuwać nieistniejące linki w swoich sygnaturkach!!! /Administrator/

minimum 2 tygodnie
A po 2 ja czyszcze blokade przy reboocie

_________________

napiszcie jak wpisać w krona na tydzień i 2 tygodnie ja nie kumam jak to sie wpisuje

_________________
Jarek