Jak zablokować IP intruza?
Moderatorzy: Moderatorzy, Administratorzy
Jak zablokować IP intruza?
Witam wszystkich forumowiczów.
Ostatnio coraz częściej mam próby zalogowania się na mój komputer kogoś, kto nie ma do tego prawa. Wyglada to tak, że z częstotliwością ok. raz na sekundę ktoś próbuje zalogować się do mnie przez ssh podając różne nazwy użytkowników (prawdopodobnie poszukuje loginu bez hasła). W momencie gdy to zauważę (pojawia się dziwny ruch na sieci oraz wpisy w /var/log/messages i /var/log/secure) mogę wrzucić IP intruza do regułek iptables i ustawić na drop.
Powyższe rozwiązanie działa ale jest niezbyt wygodne. Czy ktoś wie w jaki sposób można to zautomatyzować? Może jakaś wskazówka jakim hasłem google męczyć lub jakim programem się zainteresować?
Z góry dziękuję za wszelką pomoc.
Ostatnio coraz częściej mam próby zalogowania się na mój komputer kogoś, kto nie ma do tego prawa. Wyglada to tak, że z częstotliwością ok. raz na sekundę ktoś próbuje zalogować się do mnie przez ssh podając różne nazwy użytkowników (prawdopodobnie poszukuje loginu bez hasła). W momencie gdy to zauważę (pojawia się dziwny ruch na sieci oraz wpisy w /var/log/messages i /var/log/secure) mogę wrzucić IP intruza do regułek iptables i ustawić na drop.
Powyższe rozwiązanie działa ale jest niezbyt wygodne. Czy ktoś wie w jaki sposób można to zautomatyzować? Może jakaś wskazówka jakim hasłem google męczyć lub jakim programem się zainteresować?
Z góry dziękuję za wszelką pomoc.
Ostatnio zmieniony 2006-03-11, 00:40 przez thopass, łącznie zmieniany 1 raz.
Slackware Current + kernel 2.6.32.6 + KDE 3.5.10
registered linux user #412954
[url=http://userbars.org][img]http://img162.imageshack.us/img162/9958/linux1hf8.jpg[/img][/url]
registered linux user #412954
[url=http://userbars.org][img]http://img162.imageshack.us/img162/9958/linux1hf8.jpg[/img][/url]
Re: Jak zablokować IP intruza?
wrzuc jego ip do /etc/hosts.deny
i jeszcze zapoznaj sie z programem snort
i jeszcze zapoznaj sie z programem snort
Ostatnio zmieniony 2006-03-11, 00:44 przez hanys, łącznie zmieniany 1 raz.
Registered Linux User #375982
Re: Jak zablokować IP intruza?
To zadziała ale tylko w przypadku, gdy za każdym razem będzie się łaczył z tego samego IP a najczęściej następnym razem (czasem po kilkunastu/dziesięciu minutach) próby zalogowania przychodzą z innego IP.
//edit
snort'em się oczywiście zainteresuję
//edit
snort'em się oczywiście zainteresuję
Ostatnio zmieniony 2006-03-11, 00:47 przez thopass, łącznie zmieniany 1 raz.
Slackware Current + kernel 2.6.32.6 + KDE 3.5.10
registered linux user #412954
[url=http://userbars.org][img]http://img162.imageshack.us/img162/9958/linux1hf8.jpg[/img][/url]
registered linux user #412954
[url=http://userbars.org][img]http://img162.imageshack.us/img162/9958/linux1hf8.jpg[/img][/url]
Re: Jak zablokować IP intruza?
Bo to trzeba zrobic tak :>
Do hosts.denny dajesz all:all, a do hosts.allow tylko IP uprawnionych do logowania.
Do hosts.denny dajesz all:all, a do hosts.allow tylko IP uprawnionych do logowania.
"Touch my car and i will touch your girl"
Re: Jak zablokować IP intruza?
Polecilbym Ci do tego wszystkiego jeszcze zmiane portu ssh Tylko zebys czasem nie wpisal portu ssh który jest już uwany przez jakas inna usluge
Pozdrawiam.
Pozdrawiam.
Re: Jak zablokować IP intruza?
Kod: Zaznacz cały
# ssh
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p udp --dport 22 -j ACCEPT
# logowanie się na SSH maksymalnie 3 razy na minutę z tego samego IP
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
Re: Jak zablokować IP intruza?
Kiedyś znalzałem w sieci coś takiego:
http://sp9wun.republika.pl/linux/ban.html
ale nigdy tego nie używałem. Wygląda za to, że robi to, o co Ci chodzi, a dodatkowo są to chyba po prostu skrytpy, które można postudiować
http://sp9wun.republika.pl/linux/ban.html
ale nigdy tego nie używałem. Wygląda za to, że robi to, o co Ci chodzi, a dodatkowo są to chyba po prostu skrytpy, które można postudiować
Slackware 10.0
kernel 2.4.20
blackbox 0.65.0
acer TM 2303NLC
kernel 2.4.20
blackbox 0.65.0
acer TM 2303NLC
Re: Jak zablokować IP intruza?
Dziękuję wszystkim za linki i wskazówki - sprawdzę każdą pokolei i zobaczę co mi z tego wyjdzie (po czym się odezwę jak coś zmuszę do działania).
Tego rozwiązania niestety nie mogę zastosować bo znajomi posiadający NEO nie mogliby się logować do mnie.Grucha pisze:Do hosts.denny dajesz all:all, a do hosts.allow tylko IP uprawnionych do logowania.
Slackware Current + kernel 2.6.32.6 + KDE 3.5.10
registered linux user #412954
[url=http://userbars.org][img]http://img162.imageshack.us/img162/9958/linux1hf8.jpg[/img][/url]
registered linux user #412954
[url=http://userbars.org][img]http://img162.imageshack.us/img162/9958/linux1hf8.jpg[/img][/url]
Re: Jak zablokować IP intruza?
A ja wykorzystując topic chciałem wrzucić tutaj jako ciekawostkę link do programu na który ostatnio przypadkiem trafiłem. Program nazywa się knock i posiada bardzo ciekawą funkcjonalność. Przy odpowiednim wykorzystaniu pozwala zabezpieczyć dostęp do systemu na poziomie prawdziwie paranoicznym
Re: Jak zablokować IP intruza?
Ja proponuje packet snort . Wystarczy ze Cie ktos skanuje a goscia juz dopisuje do hosts.deny
killall -HUP windows
Re: Jak zablokować IP intruza?
najciekawsze z punktu widzenia pytającego będa odpowiedzi sajmona (http://forum.slackware.pl/viewtopic.php?p=71804) oraz barcy
Jescze skrypt domisa wygląda ciekawie http://sp9wun.republika.pl/linux/ban.html
Jeszce tylko jedna uwaga: --state NEW to ejst to samo co --syn?
Jescze skrypt domisa wygląda ciekawie http://sp9wun.republika.pl/linux/ban.html
Jeszce tylko jedna uwaga: --state NEW to ejst to samo co --syn?
Ostatnio zmieniony 2006-03-12, 12:43 przez Ciuciu, łącznie zmieniany 1 raz.
[color=#888888][i][size=75]Whatever walks in my heart
Will walk alone...[/size][/i][/color]
Will walk alone...[/size][/i][/color]
Re: Jak zablokować IP intruza?
no nie zawsze z tym syn tak jest. jesli ktos wysyla poprawna paczke typu syn to jest to rownowazne z NEW. jesli jednak paczka ta nie jest poprawna (np nmap je "preparuje") to wtedy sa to 2 rozne rzeczy. ja w swoim firewallu na ssh dalem --syn a na reszte NEW.
// tak to w ktoryms numerze hackingu wyczytalem.
// tak to w ktoryms numerze hackingu wyczytalem.
Re: Jak zablokować IP intruza?
W ostatninch dniach był spokój więc nie mialem możliwości przetestowania Waszych porad (inna sprawa, że czasu na konfigurację też nie miałem).
Na razie zastosowałem rozwiązanie Barca i dziś pojawiła się próba włamania na konto roota... ale /var/log/messages nie uginal sie pod ciezarem logow - znalazło się tam raptem 6 linijek:
W wolnej chwili spróbuję sił ze snortem a tymczasem: dziękuję wszystkim za pomoc.
Na razie zastosowałem rozwiązanie Barca i dziś pojawiła się próba włamania na konto roota... ale /var/log/messages nie uginal sie pod ciezarem logow - znalazło się tam raptem 6 linijek:
Kod: Zaznacz cały
Mar 16 18:58:46 thop sshd[4145]: Failed password for root from 62.112.213.233 port 39818 ssh2
Slackware Current + kernel 2.6.32.6 + KDE 3.5.10
registered linux user #412954
[url=http://userbars.org][img]http://img162.imageshack.us/img162/9958/linux1hf8.jpg[/img][/url]
registered linux user #412954
[url=http://userbars.org][img]http://img162.imageshack.us/img162/9958/linux1hf8.jpg[/img][/url]
- snaj
- Moderator w st. spocz.
- Posty: 1608
- Rejestracja: 2004-10-10, 16:32
- Lokalizacja: Warszawa
- Kontakt:
Re: Jak zablokować IP intruza?
Hint: denyhosts itp projekty.
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*