Avatar billede brixz Nybegynder
05. marts 2005 - 01:26 Der er 5 kommentarer og
1 løsning

3 forsøg og derefter ban

Jeg sad tilfældigvis en dag og havde ikke for meget at lave, så jeg kikkede lidt i log-filerne på min openbsd 3.6 maskine, og der fik jeg lov at se dette:

-------------------------------
Feb 14 07:29:56 Tron sshd[1726]: Did not receive identification string from 222.170.7.245
Feb 14 07:34:22 Tron sshd[18501]: Failed password for nobody from 222.170.7.245 port 42175 ssh2
Feb 14 07:34:22 Tron sshd[8674]: Failed password for nobody from 222.170.7.245 port 42175 ssh2
Feb 14 07:34:23 Tron sshd[18501]: Received disconnect from 222.170.7.245: 11: Bye Bye
Feb 14 07:34:26 Tron sshd[1154]: Invalid user patrick from 222.170.7.245
Feb 14 07:34:26 Tron sshd[25795]: input_userauth_request: invalid user patrick
Feb 14 07:34:26 Tron sshd[25795]: Failed password for invalid user patrick from 222.170.7.245 port 43624 ssh2
Feb 14 07:34:26 Tron sshd[1154]: Failed password for invalid user patrick from 222.170.7.245 port 43624 ssh2
Feb 14 07:34:27 Tron sshd[25795]: Received disconnect from 222.170.7.245: 11: Bye Bye
Feb 14 07:34:31 Tron sshd[11207]: Invalid user patrick from 222.170.7.245
Feb 14 07:34:31 Tron sshd[22017]: input_userauth_request: invalid user patrick
Feb 14 07:34:32 Tron sshd[22017]: Failed password for invalid user patrick from 222.170.7.245 port 44635 ssh2
Feb 14 07:34:32 Tron sshd[11207]: Failed password for invalid user patrick from 222.170.7.245 port 44635 ssh2
Feb 14 07:34:32 Tron sshd[22017]: Received disconnect from 222.170.7.245: 11: Bye Bye
Feb 14 07:34:36 Tron sshd[21673]: Failed password for root from 222.170.7.245 port 46290 ssh2
Feb 14 07:34:36 Tron sshd[11591]: Failed password for root from 222.170.7.245 port 46290 ssh2
Feb 14 07:34:37 Tron sshd[21673]: Received disconnect from 222.170.7.245: 11: Bye Bye
Feb 14 07:34:41 Tron sshd[7124]: Failed password for root from 222.170.7.245 port 47899 ssh2
Feb 14 07:34:41 Tron sshd[4188]: Failed password for root from 222.170.7.245 port 47899 ssh2
Feb 14 07:34:41 Tron sshd[7124]: Received disconnect from 222.170.7.245: 11: Bye Bye
Feb 14 07:34:45 Tron sshd[28069]: Failed password for root from 222.170.7.245 port 49538 ssh2
Feb 14 07:34:45 Tron sshd[4476]: Failed password for root from 222.170.7.245 port 49538 ssh2
Feb 14 07:34:46 Tron sshd[28069]: Received disconnect from 222.170.7.245: 11: Bye Bye
Feb 14 07:34:50 Tron sshd[6080]: Failed password for root from 222.170.7.245 port 51121 ssh2
Feb 14 07:34:50 Tron sshd[25048]: Failed password for root from 222.170.7.245 port 51121 ssh2
Feb 14 07:34:50 Tron sshd[6080]: Received disconnect from 222.170.7.245: 11: Bye Bye
Feb 14 07:34:56 Tron sshd[14657]: Failed password for root from 222.170.7.245 port 53198 ssh2
Feb 14 07:34:56 Tron sshd[18899]: Failed password for root from 222.170.7.245 port 53198 ssh2
Feb 14 07:34:56 Tron sshd[14657]: Received disconnect from 222.170.7.245: 11: Bye Bye
Feb 14 07:35:00 Tron sshd[28675]: Invalid user rolo from 222.170.7.245
Feb 14 07:35:00 Tron sshd[4780]: input_userauth_request: invalid user rolo
Feb 14 07:35:00 Tron sshd[4780]: Failed password for invalid user rolo from 222.170.7.245 port 55414 ssh2
Feb 14 07:35:00 Tron sshd[28675]: Failed password for invalid user rolo from 222.170.7.245 port 55414 ssh2
Feb 14 07:35:00 Tron sshd[4780]: Received disconnect from 222.170.7.245: 11: Bye Bye
Feb 14 07:35:04 Tron sshd[17673]: Invalid user iceuser from 222.170.7.245
-------------------------------

og det er ikke engang halvdelen, altså den samme ip der i alt prøver at logge ind godt 80 gange med forskellige usernames i tidsrummet 7:34 - 7:38.

så tænkte jeg om det var muligt at lave en regel som sagde "two misses and you're out" ligesom hvis du ikke kan logge ind korrekt de første 2 gange skal ip bannes.

jeg har en ide om at man kunne smide en ip ned i en <badboys> table som PF can block drop'e for vildt. men hvordan jeg får den til at tjekke at der er kommet 2 forkerte passwords fra samme ip ved jeg ikke helt hvordan jeg skal få til at virke.

er der nogen der har nogle forslag?
Avatar billede mfalck Praktikant
05. marts 2005 - 10:35 #1
jeg ved godt at det ikke er den løsning du efterspørger, men var det ikke en ide at skrive og brokke dig til ip-adressens ejer og vedhæfte de relevante dele af logfilen ? Jeg gør det af princip på de maskiner jeg administrerer og det har flere gange haft den effekt at de lukkede personens konto. Ok - det er en kinesisk adresse og de er ikke altid lige effektive - men det er nok en maskine som står og skanner flere adresse og hvis der er nok der brokker sig så bliver de nok nødt til at skride til handling.

inetnum:      222.170.0.0 - 222.172.127.255
netname:      CHINATELECOM-HL
descr:        CHINANET heilongjiang province network
descr:        China Telecom
descr:        No.31,jingrong street
descr:        Beijing 100032
country:      CN
admin-c:      CH93-AP
tech-c:      LZ298-AP
mnt-by:      APNIC-HM
mnt-lower:    MAINT-CHINATELECOM-HL
mnt-routes:  MAINT-CHINATELECOM-HL
status:      ALLOCATED PORTABLE
changed:      hm-changed@apnic.net 20040305
source:      APNIC

person:      Chinanet Hostmaster
address:      No.31 ,jingrong street,beijing
address:      100032
country:      CN
phone:        +86-10-66027112
fax-no:      +86-10-58501144
e-mail:      hostmaster@ns.chinanet.cn.net
e-mail:      anti-spam@ns.chinanet.cn.net
nic-hdl:      CH93-AP
mnt-by:      MAINT-CHINANET
changed:      hostmaster@ns.chinanet.cn.net 20021016
remarks:      hostmaster is not for spam complaint,please send spam complaint to anti-spam@ns.chinanet.cn.net
source:      APNIC

person:      LIJUAN ZHENG
nic-hdl:      LZ298-AP
e-mail:      network@hljtele.com
address:      Communication Corporation Internet Enterprise Division of HLJ
phone:        +86-451-53901158
fax-no:      +86-451-53900011
country:      CN
changed:      network@hljtele.com 20031102
mnt-by:      MAINT-CHINATELECOM-HL
source:      APNIC
Avatar billede brixz Nybegynder
05. marts 2005 - 10:55 #2
tjo det kunne jeg da godt. Men jeg har aldrig gjort det før, kan du fortælle mig hvilken af de mail addresser jeg bør bruge
jeg ved ikke helt om dette indgår i betegnelsen "spam" så måske jeg skulle bruge hostmaster@ns......  eller hvordan?
Avatar billede mfalck Praktikant
05. marts 2005 - 10:57 #3
jeg plejer at bruge abuse@
Avatar billede jrcarlsen Nybegynder
06. marts 2005 - 12:32 #4
Uden at lave et lille program det holder øje med logfilen, så er jeg ikke sikker på du kan gøre det.
Avatar billede jrcarlsen Nybegynder
06. marts 2005 - 12:45 #5
Mange af de forsøg der kommer er fra automatiserede programmer.

En anden mulighed er at skifte port på din SSH, det vil formentlig også redde dig den dag en SSH orm slipper ud.

Hvis du vil have SSH til at lytte på eksempelvis port 4022 istedet, så ret filen "/etc/ssh/sshd_config", for tilføj eller ret linien:
Port 4022

Det forhindre stadig ikke folk i at kunne lave et bruteforce angreb, men det holder dog de automatiske scannere væk.
Avatar billede brixz Nybegynder
06. marts 2005 - 18:33 #6
Tja det må jo så blive min løsning at skifte porten. Indtil jeg kan lave/finde et program der analyserer logfiler :)

men tak for jeres 'input' ;)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester