Форум Сайтостроение Администрирование серверов

Как заблокировать IP Brute-Force Attack?

12
P
На сайте с 16.03.2009
Offline
144
poiuty
#11

apt-get install fail2ban (поставит со стандартных репо)

yum install fail2ban (на сколько я помню нужно подключить epel репо)

Далее открываем /etc/fail2ban/jail.conf

[ssh]

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6

Далее включаем /etc/init.d/fail2ban start

Вводим 6 раза неверно пас - отправляемся в бан.

Можно поменять тоже в jail.conf

bantime = 600
maxretry = 3

Так же в fail2ban еще много разных фильтров. Можно включить для proftpd, vsftpd и т.д.

Еще можно прикрутить авто отправку abuse, но тут не подскажу - себе не ставил.

Mutabors
На сайте с 17.09.2012
Offline
127
Mutabors
#12

+1 fail2ban в данном случае лучшее решение даже и настраивать не нужно, по умолчанию будет ssh фильтровать.

yum install file2ban

далее команда chkonfig и проверить, есть ли он там и включен ли, если нету, то добавить и включить...

Самый продвинутый и надежный SSD хостинг рунета с изоляцией сайтов по 115 руб! (http://beget.ru/?id=332651) Контекстная реклама и продажи. Конкурентные и серые темы. Дорого! Не трать время на рутину! Ее сделают за копейки! (http://www.work-zilla.com?ref=143498)
S
На сайте с 21.05.2012
Offline
11
Servcare
#13
Mutabors:

yum install file2ban

файлы то за что банить :)

Администрирование и мониторинг серверов (http://servcare.com)
K5
На сайте с 21.07.2010
Offline
209
kgtu5
#14

poiuty про баг фильтров fail2ban забыли сказать, без правки конфига будет работать некорректно...

---------- Добавлено 23.10.2012 в 07:03 ----------

ТС, могу помочь...

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
P
На сайте с 16.03.2009
Offline
144
poiuty
#15
kgtu5:
poiuty про баг фильтров fail2ban забыли сказать, без правки конфига будет работать некорректно...

---------- Добавлено 23.10.2012 в 07:03 ----------

ТС, могу помочь...

Правил фильтр только для proftpd http://www.fail2ban.org/wiki/index.php/Talk:ProFTPd

Для ssh без правки работал.

K5
На сайте с 21.07.2010
Offline
209
kgtu5
#16
poiuty:
Правил фильтр только для proftpd http://www.fail2ban.org/wiki/index.php/Talk:ProFTPd
Для ssh без правки работал.

в fail2ban есть баг ssh, вот правило


^$(__prefix_line)sFailed password for .* from <HOST>(?: port \d*)?(?: ssh\d*)?

статья про это


http://anton-lebedev.blogspot.com/2011/03/fail2ban.html
P
На сайте с 16.03.2009
Offline
144
poiuty
#17

nvalid) user уже было в фильтре (debian squeeze)

Про ^$(__prefix_line)sFailed password for .* from <HOST>(?: port \d*)?(?: ssh\d*)? - фз.

Ведь и так забанит по ^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$

Пример лога


Oct 21 13:07:47 sshd[1037101]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.92.91.222 user=root
Oct 21 13:07:49 sshd[1037101]: Failed password for root from 188.92.91.222 port 48432 ssh2
Oct 21 13:07:49 sshd[1037104]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.92.91.222 user=root
Oct 21 13:07:51 sshd[1037104]: Failed password for root from 188.92.91.222 port 48533 ssh2

Mutabors
На сайте с 17.09.2012
Offline
127
Mutabors
#18
Servcare:
файлы то за что банить

И правда ваша, опечатался, в первый раз правильно написал, а во второй ошибся, конечно же не file2ban, а fail2ban. Огромное спасибо, что поправили! Свое сообщение с ошибкой увы уже не редактируется...

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий