Автор Тема: Нерви с dictionary и bruteforce атаки към FreeBSD  (Прочетена 3099 пъти)

bubba

  • Напреднали
  • *****
  • Публикации: 20
    • Профил
Става дума за това:
Dec 28 16:00:04 bubba-home sshd[6672]: Illegal user robert from 61.211.226.200
Dec 28 16:00:13 bubba-home sshd[6705]: Illegal user robert from 61.211.226.200
Dec 28 16:00:17 bubba-home sshd[6708]: Illegal user robert from 61.211.226.200
Dec 28 16:00:21 bubba-home sshd[6710]: Illegal user robert from 61.211.226.200
Dec 28 16:00:26 bubba-home sshd[6712]: Illegal user john from 61.211.226.200
Dec 28 16:00:30 bubba-home sshd[6714]: Illegal user john from 61.211.226.200
Dec 28 16:00:36 bubba-home sshd[6716]: Illegal user john from 61.211.226.200

Проблема не е толкова притеснителен, колкото дразнещ, само ми тъпче auth.log с тези бози (имам 4 потребителя на сървъра, които е изключено да налучкат по този начин, а до root няма дитектен достъп, освен ако не си на сървъра директно....)

Та, в момента съм пуснал това http://denyhosts.sourceforge.net/, но то просто се включва от crontab на определено време, прочита auth.log и ако намери такова, записва адреса и го блокира за по-натам, което решава въпроса само донякъде, просто няма да има пожтаряемост на атаките от един адрес... мога да го настроя да проверява на няколко секунди, ма неснам как ще го понесе машинката ми.....

Преди време ми бяха препоръчали това http://www.bgnett.no/~peter/pf/en/bruteforce.html, при което има директно наблюдение на връзките, и при прескачане на лимита - записва в черния списък, но..... това е за OpenBSD, FreeBSD не поддържа max-src-conn и max-src-conn-rate като формати за таймаут и не подкарва pf с ова правило........

Някои да знае нещо добро за FreeBSD (!'<img'> за динамочно наблюдение, от сорта на втория пример, което да може да ми помогне?
Активен

ibb27

  • Напреднали
  • *****
  • Публикации: 119
    • Профил
Нерви с dictionary и bruteforce атаки към FreeBSD
« Отговор #1 -: Jan 03, 2006, 17:31 »
Погледни този линк:
http://www.freshports.org/security/bruteforceblocker/
дано ти помогне, тази програмка е в портовете.
Активен

acidburn

  • Напреднали
  • *****
  • Публикации: 12
    • Профил
    • WWW
Нерви с dictionary и bruteforce атаки към FreeBSD
« Отговор #2 -: Jan 05, 2006, 22:58 »
смени дефаулт порта на sshd. сложи го... 15222  ':p'  '<img'>
Активен

Proud Official Slackware BG Mirror
Keep slackin' @ http://slackware.bgbits.com