Jak zablokować IP intruza?

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

thopass
Użytkownik
Posty: 173
Rejestracja: 2005-01-08, 13:48
Lokalizacja: Warszawa
Kontakt:

Jak zablokować IP intruza?

Post autor: thopass »

Witam wszystkich forumowiczów.

Ostatnio coraz częściej mam próby zalogowania się na mój komputer kogoś, kto nie ma do tego prawa. Wyglada to tak, że z częstotliwością ok. raz na sekundę ktoś próbuje zalogować się do mnie przez ssh podając różne nazwy użytkowników (prawdopodobnie poszukuje loginu bez hasła). W momencie gdy to zauważę (pojawia się dziwny ruch na sieci oraz wpisy w /var/log/messages i /var/log/secure) mogę wrzucić IP intruza do regułek iptables i ustawić na drop.
Powyższe rozwiązanie działa ale jest niezbyt wygodne. Czy ktoś wie w jaki sposób można to zautomatyzować? Może jakaś wskazówka jakim hasłem google męczyć lub jakim programem się zainteresować?

Z góry dziękuję za wszelką pomoc.
Ostatnio zmieniony 2006-03-11, 00:40 przez thopass, łącznie zmieniany 1 raz.
Slackware Current + kernel 2.6.32.6 + KDE 3.5.10
registered linux user #412954

[url=http://userbars.org][img]http://img162.imageshack.us/img162/9958/linux1hf8.jpg[/img][/url]

Awatar użytkownika
hanys
Użytkownik
Posty: 349
Rejestracja: 2004-07-21, 11:49
Lokalizacja: Poznań
Kontakt:

Re: Jak zablokować IP intruza?

Post autor: hanys »

wrzuc jego ip do /etc/hosts.deny
i jeszcze zapoznaj sie z programem snort
Ostatnio zmieniony 2006-03-11, 00:44 przez hanys, łącznie zmieniany 1 raz.
Registered Linux User #375982

thopass
Użytkownik
Posty: 173
Rejestracja: 2005-01-08, 13:48
Lokalizacja: Warszawa
Kontakt:

Re: Jak zablokować IP intruza?

Post autor: thopass »

To zadziała ale tylko w przypadku, gdy za każdym razem będzie się łaczył z tego samego IP a najczęściej następnym razem (czasem po kilkunastu/dziesięciu minutach) próby zalogowania przychodzą z innego IP.

//edit

snort'em się oczywiście zainteresuję
Ostatnio zmieniony 2006-03-11, 00:47 przez thopass, łącznie zmieniany 1 raz.
Slackware Current + kernel 2.6.32.6 + KDE 3.5.10
registered linux user #412954

[url=http://userbars.org][img]http://img162.imageshack.us/img162/9958/linux1hf8.jpg[/img][/url]

Awatar użytkownika
Grucha
Administrator
Posty: 1681
Rejestracja: 2004-05-21, 14:24
Lokalizacja: Wrocław
Kontakt:

Re: Jak zablokować IP intruza?

Post autor: Grucha »

Bo to trzeba zrobic tak :>
Do hosts.denny dajesz all:all, a do hosts.allow tylko IP uprawnionych do logowania.
"Touch my car and i will touch your girl"

Awatar użytkownika
salivan
Użytkownik
Posty: 47
Rejestracja: 2006-01-24, 14:05
Lokalizacja: Sz-wa

Re: Jak zablokować IP intruza?

Post autor: salivan »

Polecilbym Ci do tego wszystkiego jeszcze zmiane portu ssh ;-) Tylko zebys czasem nie wpisal portu ssh który jest już uwany przez jakas inna usluge

Pozdrawiam.


Awatar użytkownika
Barca
Użytkownik
Posty: 277
Rejestracja: 2005-01-24, 20:25

Re: Jak zablokować IP intruza?

Post autor: Barca »

Kod: Zaznacz cały

# ssh
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p udp --dport 22 -j ACCEPT

# logowanie się na SSH maksymalnie 3 razy na minutę z tego samego IP
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

Domiss
Użytkownik
Posty: 43
Rejestracja: 2006-01-08, 20:00
Lokalizacja: Wrocław

Re: Jak zablokować IP intruza?

Post autor: Domiss »

Kiedyś znalzałem w sieci coś takiego:
http://sp9wun.republika.pl/linux/ban.html
ale nigdy tego nie używałem. Wygląda za to, że robi to, o co Ci chodzi, a dodatkowo są to chyba po prostu skrytpy, które można postudiować ;)
Slackware 10.0
kernel 2.4.20
blackbox 0.65.0
acer TM 2303NLC

thopass
Użytkownik
Posty: 173
Rejestracja: 2005-01-08, 13:48
Lokalizacja: Warszawa
Kontakt:

Re: Jak zablokować IP intruza?

Post autor: thopass »

Dziękuję wszystkim za linki i wskazówki - sprawdzę każdą pokolei i zobaczę co mi z tego wyjdzie (po czym się odezwę jak coś zmuszę do działania).
Grucha pisze:Do hosts.denny dajesz all:all, a do hosts.allow tylko IP uprawnionych do logowania.
Tego rozwiązania niestety nie mogę zastosować bo znajomi posiadający NEO nie mogliby się logować do mnie.
Slackware Current + kernel 2.6.32.6 + KDE 3.5.10
registered linux user #412954

[url=http://userbars.org][img]http://img162.imageshack.us/img162/9958/linux1hf8.jpg[/img][/url]

Awatar użytkownika
Randalf
Użytkownik
Posty: 72
Rejestracja: 2005-12-21, 04:59

Re: Jak zablokować IP intruza?

Post autor: Randalf »

A ja wykorzystując topic chciałem wrzucić tutaj jako ciekawostkę link do programu na który ostatnio przypadkiem trafiłem. Program nazywa się knock i posiada bardzo ciekawą funkcjonalność. Przy odpowiednim wykorzystaniu pozwala zabezpieczyć dostęp do systemu na poziomie prawdziwie paranoicznym :devil2:

Awatar użytkownika
grzywka18
Użytkownik
Posty: 135
Rejestracja: 2006-03-04, 20:45
Lokalizacja: Kielce

Re: Jak zablokować IP intruza?

Post autor: grzywka18 »

Ja proponuje packet snort . Wystarczy ze Cie ktos skanuje a goscia juz dopisuje do hosts.deny
killall -HUP windows

Awatar użytkownika
Ciuciu
Administrator
Posty: 921
Rejestracja: 2004-05-26, 21:01
Lokalizacja: 3C17y
Kontakt:

Re: Jak zablokować IP intruza?

Post autor: Ciuciu »

najciekawsze z punktu widzenia pytającego będa odpowiedzi sajmona (http://forum.slackware.pl/viewtopic.php?p=71804) oraz barcy

Jescze skrypt domisa wygląda ciekawie :) http://sp9wun.republika.pl/linux/ban.html

Jeszce tylko jedna uwaga: --state NEW to ejst to samo co --syn?
Ostatnio zmieniony 2006-03-12, 12:43 przez Ciuciu, łącznie zmieniany 1 raz.
[color=#888888][i][size=75]Whatever walks in my heart
Will walk alone...[/size][/i][/color]

Awatar użytkownika
myuser
Użytkownik
Posty: 442
Rejestracja: 2006-02-09, 17:44
Lokalizacja: Warszawa
Kontakt:

Re: Jak zablokować IP intruza?

Post autor: myuser »

no nie zawsze z tym syn tak jest. jesli ktos wysyla poprawna paczke typu syn to jest to rownowazne z NEW. jesli jednak paczka ta nie jest poprawna (np nmap je "preparuje") to wtedy sa to 2 rozne rzeczy. ja w swoim firewallu na ssh dalem --syn a na reszte NEW.

// tak to w ktoryms numerze hackingu wyczytalem.

thopass
Użytkownik
Posty: 173
Rejestracja: 2005-01-08, 13:48
Lokalizacja: Warszawa
Kontakt:

Re: Jak zablokować IP intruza?

Post autor: thopass »

W ostatninch dniach był spokój więc nie mialem możliwości przetestowania Waszych porad (inna sprawa, że czasu na konfigurację też nie miałem).
Na razie zastosowałem rozwiązanie Barca i dziś pojawiła się próba włamania na konto roota... ale /var/log/messages nie uginal sie pod ciezarem logow - znalazło się tam raptem 6 linijek:

Kod: Zaznacz cały

Mar 16 18:58:46 thop sshd[4145]: Failed password for root from 62.112.213.233 port 39818 ssh2
W wolnej chwili spróbuję sił ze snortem a tymczasem: dziękuję wszystkim za pomoc.
Slackware Current + kernel 2.6.32.6 + KDE 3.5.10
registered linux user #412954

[url=http://userbars.org][img]http://img162.imageshack.us/img162/9958/linux1hf8.jpg[/img][/url]

Awatar użytkownika
snaj
Moderator w st. spocz.
Posty: 1608
Rejestracja: 2004-10-10, 16:32
Lokalizacja: Warszawa
Kontakt:

Re: Jak zablokować IP intruza?

Post autor: snaj »

Hint: denyhosts itp projekty.
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*

ODPOWIEDZ