форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Раздел полезных советов: Борьба с перебором паролей на FTP с..."	+/–
Сообщение от auto_tips on 13-Авг-09, 22:01
Для предотвращения bruteforce-атак по подбору паролей во FreeBSD или OpenBSD можно использовать возможность пакетного фильтра PF по лимитированию числа соединений за единицу времени в сочетании с блокировкой по таблицам. Добавляем в /etc/pf.conf    # Подключаем ранее составленный список заблокированных за излишнее число коннектов IP    table <ftp-attacks> persist file "/etc/pf.ftp.block.list"    # Блокируем все входящие соединения с IP, которые присутствуют в черном списке    block in quick on $ext_if from <ftp-attacks>    # Выявляем IP с которых было более 5 обращений за 40 секунд    # и добавляем этот IP в ранее созданную таблицу блокировки    pass in quick on $ext_if inet proto tcp from any to ($ext_if) port 21 keep state (max-src-conn-rate 5/40, overload <ftp-attacks> flush global) Перечитываем конфигурацию PF:    /etc/rc.d/pf reload или    /sbin/pfctl -f /etc/pf.conf Далее, чтобы сохранить созданную таблицу блокировки между перезагрузками, необходимо добавить в /etc/rc.shutdown код для сброса в файл состояния таблицы перед завершением работы:    /sbin/pfctl -t ftp-attacks -T show > /etc/pf.ftp.block.list Для удаления определенного IP (например, 192.168.1.1) из таблицы:    /sbin/pfctl -t ftp-attacks -T delete 192.168.1.1 Для добавления IP или подсети вручную:    /sbin/pfctl -t ftp-attacks -T add 192.168.1.1    /sbin/pfctl -t ftp-attacks -T add 192.168.1.0/24 Для полной очистки таблицы    /sbin/pfctl -t ftp-attacks -T flush Для загрузки таблицы из файла:    /sbin/pfctl -t ftp-attacks -T replace -f /etc/pf.ftp.block.list Для поиска IP в таблице    /sbin/pfctl -t ftp-attacks -T test 192.168.1.1 Для вывода более подробной статистики по каждому из IP в таблице:    /sbin/pfctl -t ftp-attacks -T show -v Для очистки счетчиков срабатываний:    /sbin/pfctl -t ftp-attacks -T zero URL: http://www.cyberciti.biz/faq/freebsd-openbsd-pf-stop-ftp-bru.../ Обсуждается: http://www.opennet.ru/tips/info/2140.shtml
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Борьба с перебором паролей на FTP сервере при помощи пакетно..."	+/–
Сообщение от alex_odessa on 13-Авг-09, 22:01
Спасибо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Борьба с перебором паролей на FTP сервере при помощи пакетно..."	+/–
Сообщение от Щекн Итрч (ok) on 14-Авг-09, 00:33
Тоже спасибо. А то sshit regexp'ов не имеет для распознавания ftp брутов, а ума и трудолюбия дописать у меня не хватает. Хорошо было бы ftp-серверы наделить опцией: "писать в auth.log сообщения об отказе в аутентификации формате sshd". Было бы сверхудобно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "Борьба с перебором паролей на FTP сервере при помощи пакетно..."	+/–
	Сообщение от Andrey Mitrofanov on 14-Авг-09, 13:54
	>Хорошо было >бы ftp-серверы наделить опцией: "писать в auth.log сообщения об отказе в >аутентификации формате sshd". А давайте этому научим(*) соотв.модули PAM, и _волшебным_ образом fail2ban-у и аналогам "научатся" login, telnet, всякие pop3d и прочие. Ой, а в опенбсд пам-то есть? $) (*)И да -- пусть кто-нибудь другой.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	13. "Борьба с перебором паролей на FTP сервере при помощи пакетно..."	+/–
	Сообщение от Щекн Итрч (ok) on 15-Авг-09, 04:06
	этому научим(*) - мысль есть, денег нет. Но, вообще, созреваю. fail2ban - целует морковь взасос или, по простому, сосёт. Нужно переписывать sshit. Только тупой | в сканер логов дает эффект. РАМ, волшебным образом, бесполезен для диагностирования брутов.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

3. "Борьба с перебором паролей на FTP сервере при помощи пакетно..."	+/–
Сообщение от Ma_X_X on 14-Авг-09, 09:39
А разве "во FreeBSD или OpenBSD" нет простого fail2ban?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Борьба с перебором паролей на FTP сервере при помощи пакетно..."	+/–
	Сообщение от charon (ok) on 14-Авг-09, 12:13
	есть. Тесты на ВПС показывают, что fail2ban потребляет заметное количество ресурсов, поэтому лучше не плодить сущности.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Борьба с перебором паролей на FTP сервере при помощи пакетно..."	+/–
	Сообщение от Анонимус. on 14-Авг-09, 12:14
	Тебе альтернативный вариант описали, это не значит что все забыли что такое  fail2ban . И не все должны им пользоваться.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	15. "Борьба с перебором паролей на FTP сервере при помощи пакетно..."	+/–
	Сообщение от Щекн Итрч (ok) on 15-Авг-09, 04:09
	>А разве "во FreeBSD или OpenBSD" нет простого fail2ban? А нарисуйте-ка мне how-to для брута против ftp? Буду искренне признателен.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	19. "Борьба с перебором паролей на FTP сервере при помощи пакетно..."	+/–
	Сообщение от Щекн Итрч (ok) on 22-Авг-09, 06:12
	Сам нарисовал. fail2ban рулит.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

6. "Борьба с перебором паролей на FTP сервере при помощи пакетно..."	+/–
Сообщение от artemrts (ok) on 14-Авг-09, 12:22
Еще можно добавить max-src-nodes и max-src-conn
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Борьба с перебором паролей на FTP сервере при помощи пакетно..."	+/–
Сообщение от 0lpa on 14-Авг-09, 12:27
А смысл держать таблицу в файле, да еще сохранять ее при перезагрузке? Можно просто каждый час по cron-у ее чистить, так по-моему проще, да и для честных юзеров какого-нибудь прокси может случиться вечный бан.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Борьба с перебором паролей на FTP сервере при помощи пакетно..."	+/–
Сообщение от Touch (??) on 14-Авг-09, 14:14
bruteblockd
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	10. "Борьба с перебором паролей на FTP сервере при помощи пакетно..."	+/–
	Сообщение от grayich (ok) on 14-Авг-09, 15:53
	+1 хорошая штука http://samm.kiev.ua/bruteblock/
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	12. "Борьба с перебором паролей на FTP сервере при помощи пакетно..."	+/–
	Сообщение от BonDit (??) on 14-Авг-09, 22:12
	pf не умеет(
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	14. "Борьба с перебором паролей на FTP сервере при помощи пакетно..."	+/–
	Сообщение от Щекн Итрч (ok) on 15-Авг-09, 04:07
	>pf не умеет( Оть иманна. Нет PF - гулять лесом.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	17. "Борьба с перебором паролей на FTP сервере при помощи пакетно..."	+/–
	Сообщение от Touch (??) on 17-Авг-09, 15:24
	угум .. нет PF'а - нет пролем с натом GRE и перебором паролей ..
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	18. "Борьба с перебором паролей на FTP сервере при помощи пакетно..."	+/–
	Сообщение от Touch (??) on 17-Авг-09, 15:24
	>угум .. нет PF'а - нет пролем с натом GRE и перебором >паролей .. нет проблем
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

11. "Борьба с перебором паролей на FTP сервере при помощи пакетно..."	+/–
Сообщение от Аноним (??) on 14-Авг-09, 20:12
ЖЖоте, а еще десяток альтернативных вариантов слабо написать? Или теперь каждый кто пишет заметки , должен расписывать все варианты что бы его не обливали грязью и было советами.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Борьба с перебором паролей на FTP сервере при помощи пакетно..."	+/–
Сообщение от Аноним (??) on 15-Авг-09, 13:02
Манов ещё так много, а все нужно обязательно поместить на опеннет в виде заметок...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Борьба с перебором паролей на FTP сервере при помощи пакетно..."	+/–
Сообщение от daemon17 (??) on 09-Ноя-11, 14:11
У меня работает скрипт по крону анализируя лог ftp и никаких списков не надо держать. Больше 3-х неправильных заходов и пошел в bruteforce. ================================= #!/bin/sh # add IP to PF table bruteforce # logfile="/var/log/xferlog" grep "Authentication failed" ${logfile} >/dev/null 2>&1 if [ $? -eq 0 ]; then     set `grep "Authentication failed" ${logfile}|sed 's/.*\@//; s/).*//'|uniq -c`     while [ $# -ge 2 ]; do         ip=$2         count=$1         if [ $count -ge 3 ]; then             /sbin/pfctl -t bruteforce -T show | grep $ip             if [ $? -ne 0 ]; then                 /sbin/pfctl -t bruteforce -T add $ip                 echo "Address $ip add to table PF \"bruteforce\"" >> /tmp/bruteforce             fi         fi         shift 2     done fi if [ -f /tmp/bruteforce ]; then     cat /tmp/bruteforce | mail -s "Bruteforce" root; rm -rf /tmp/bruteforce fi /sbin/pfctl -t bruteforce -T expire 86400 exit
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема