форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
Сообщение от AM (??) on 21-Окт-04, 10:06  (MSK)
Oct 16 20:10:10 legacy sshd[59955]: Did not receive identification string from 211.156.128.23 Oct 16 20:19:43 legacy sshd[59961]: Illegal user patrick from 211.156.128.23 Oct 16 20:19:53 legacy sshd[59966]: Illegal user patrick from 211.156.128.23 Oct 16 20:20:22 legacy sshd[59981]: Illegal user rolo from 211.156.128.23 Oct 16 20:20:28 legacy sshd[59983]: Illegal user iceuser from 211.156.128.23 Oct 16 20:20:34 legacy sshd[59985]: Illegal user horde from 211.156.128.23 Oct 16 20:20:38 legacy sshd[59987]: Illegal user cyrus from 211.156.128.23 Oct 16 20:20:48 legacy sshd[59991]: Illegal user wwwrun from 211.156.128.23 Oct 16 20:20:58 legacy sshd[59993]: Illegal user matt from 211.156.128.23 Oct 17 01:29:25 legacy sshd[60366]: Illegal user test from 218.237.4.57 Oct 17 01:29:28 legacy sshd[60368]: Illegal user guest from 218.237.4.57 Oct 17 01:29:32 legacy sshd[60370]: Illegal user admin from 218.237.4.57 Oct 17 01:29:35 legacy sshd[60374]: Illegal user admin from 218.237.4.57 Oct 17 01:29:38 legacy sshd[60376]: Illegal user user from 218.237.4.57 Oct 17 01:29:51 legacy sshd[60387]: Illegal user test from 218.237.4.57 Oct 17 23:29:11 legacy sshd[64098]: Did not receive identification string from 147.46.76.225 Oct 17 23:37:18 legacy sshd[64139]: Illegal user patrick from 147.46.76.225 Oct 17 23:37:22 legacy sshd[64141]: Illegal user patrick from 147.46.76.225 Oct 17 23:39:35 legacy sshd[64151]: fatal: Timeout before authentication for 147.46.76.225 Oct 18 00:09:42 legacy sshd[64320]: Illegal user test from 211.174.181.158 Oct 18 00:09:45 legacy sshd[64322]: Illegal user guest from 211.174.181.158 Oct 18 00:10:18 legacy sshd[64330]: Illegal user test from 211.34.197.3 Oct 18 00:10:22 legacy sshd[64332]: Illegal user guest from 211.34.197.3 Oct 18 00:10:25 legacy sshd[64334]: Illegal user admin from 211.34.197.3 Oct 18 00:10:29 legacy sshd[64336]: Illegal user admin from 211.34.197.3 Oct 18 00:10:32 legacy sshd[64338]: Illegal user user from 211.34.197.3 Oct 18 00:10:44 legacy sshd[64347]: Illegal user test from 211.34.197.3 Oct 18 22:47:31 legacy sshd[72101]: Did not receive identification string from 83.64.18.219 Oct 18 23:02:01 legacy sshd[72124]: Illegal user patrick from 83.64.18.219 Oct 18 23:02:02 legacy sshd[72126]: Illegal user patrick from 83.64.18.219 Oct 18 23:02:15 legacy sshd[72138]: Illegal user rolo from 83.64.18.219 Oct 18 23:02:17 legacy sshd[72140]: Illegal user iceuser from 83.64.18.219 Oct 18 23:02:18 legacy sshd[72142]: Illegal user horde from 83.64.18.219 Oct 18 23:02:20 legacy sshd[72144]: Illegal user cyrus from 83.64.18.219 Oct 18 23:02:22 legacy sshd[72148]: Illegal user wwwrun from 83.64.18.219 Oct 18 23:02:24 legacy sshd[72150]: Illegal user matt from 83.64.18.219 Oct 18 23:02:25 legacy sshd[72152]: Illegal user test from 83.64.18.219 Oct 18 23:02:31 legacy sshd[72154]: Illegal user test from 83.64.18.219 Oct 18 23:02:33 legacy sshd[72156]: Illegal user test from 83.64.18.219 Oct 18 23:02:34 legacy sshd[72158]: Illegal user test from 83.64.18.219 Oct 18 23:02:35 legacy sshd[72160]: Illegal user www-data from 83.64.18.219 Oct 18 23:02:37 legacy sshd[72162]: Illegal user mysql from 83.64.18.219 Oct 18 23:02:40 legacy sshd[72166]: Illegal user adm from 83.64.18.219 Oct 18 23:02:41 legacy sshd[72168]: Illegal user apache from 83.64.18.219 Oct 18 23:02:43 legacy sshd[72170]: Illegal user irc from 83.64.18.219 Oct 18 23:02:44 legacy sshd[72172]: Illegal user irc from 83.64.18.219 Oct 18 23:02:46 legacy sshd[72174]: Illegal user adm from 83.64.18.219 Oct 18 23:02:51 legacy sshd[72182]: Illegal user jane from 83.64.18.219 Oct 18 23:02:53 legacy sshd[72184]: Illegal user pamela from 83.64.18.219 Oct 18 23:03:00 legacy sshd[72196]: Illegal user cosmin from 83.64.18.219 Oct 18 23:03:56 legacy sshd[72270]: Illegal user cip52 from 83.64.18.219 Oct 18 23:03:57 legacy sshd[72272]: Illegal user cip51 from 83.64.18.219 Oct 18 23:04:05 legacy sshd[72276]: Illegal user noc from 83.64.18.219 Oct 18 23:04:12 legacy sshd[72287]: Illegal user webmaster from 83.64.18.219 Oct 18 23:04:18 legacy sshd[72297]: Illegal user data from 83.64.18.219 Oct 18 23:04:20 legacy sshd[72299]: Illegal user user from 83.64.18.219 Oct 18 23:04:26 legacy sshd[72301]: Illegal user user from 83.64.18.219 Oct 18 23:04:27 legacy sshd[72303]: Illegal user user from 83.64.18.219 Oct 18 23:04:29 legacy sshd[72305]: Illegal user web from 83.64.18.219 Oct 18 23:04:30 legacy sshd[72307]: Illegal user web from 83.64.18.219 Oct 18 23:04:32 legacy sshd[72309]: Illegal user oracle from 83.64.18.219 Oct 18 23:04:33 legacy sshd[72311]: Illegal user sybase from 83.64.18.219 Oct 18 23:04:34 legacy sshd[72313]: Illegal user master from 83.64.18.219 Oct 18 23:04:36 legacy sshd[72315]: Illegal user account from 83.64.18.219 Oct 18 23:04:38 legacy sshd[72317]: Illegal user backup from 83.64.18.219 Oct 18 23:04:39 legacy sshd[72319]: Illegal user server from 83.64.18.219 Oct 18 23:04:41 legacy sshd[72321]: Illegal user adam from 83.64.18.219 Oct 18 23:04:42 legacy sshd[72323]: Illegal user alan from 83.64.18.219 Oct 18 23:04:44 legacy sshd[72325]: Illegal user frank from 83.64.18.219 Oct 18 23:04:46 legacy sshd[72327]: Illegal user george from 83.64.18.219 Oct 18 23:04:47 legacy sshd[72329]: Illegal user henry from 83.64.18.219 Oct 18 23:04:49 legacy sshd[72331]: Illegal user john from 83.64.18.219 Oct 18 23:04:58 legacy sshd[72343]: Illegal user test from 83.64.18.219 Oct 18 23:47:19 legacy sshd[72387]: Did not receive identification string from 67.19.240.114 Oct 19 00:04:37 legacy sshd[72447]: Illegal user patrick from 67.19.240.114 Oct 19 00:04:38 legacy sshd[72449]: Illegal user patrick from 67.19.240.114 Это нормальное явление????
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
Сообщение от mezantrop (??) on 21-Окт-04, 10:13  (MSK)
Последнее время - да. Это то-ли троян какой-то появился, то-ли червь недоучка, но последнее время довольно частое явление.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
Сообщение от ra (??) on 21-Окт-04, 10:13  (MSK)
Однажды кто-то проломится. Не подобрав пароль, так через какую-нибудь дырочку. Закрывай порт, органичивай адреса, с которых можно входить, или если уж так сильно неймется, посади ssh на другой какой-нибудь порт.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
	Сообщение от Xela (ok) on 21-Окт-04, 10:23  (MSK)
	>Однажды кто-то проломится. Не подобрав пароль, так через какую-нибудь дырочку. Закрывай порт, >органичивай адреса, с которых можно входить, или если уж так сильно >неймется, посади ssh на другой какой-нибудь порт. Дельный совет! Особенно если ты не знаешь, где окажешся завтра... Работа такая...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
	Сообщение от ra (??) on 22-Окт-04, 07:29  (MSK)
	>>Однажды кто-то проломится. Не подобрав пароль, так через какую-нибудь дырочку. Закрывай порт, >>органичивай адреса, с которых можно входить, или если уж так сильно >>неймется, посади ssh на другой какой-нибудь порт. > > >Дельный совет! Особенно если ты не знаешь, где окажешся завтра... Работа такая... > ВНИМАТЕЛЬНО читаем фразу оратора, ДУМАЕМ, потом что-то свое предлагаем. Чем не нравится пересаживание на другой порт?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	25. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
	Сообщение от Xela (ok) on 25-Окт-04, 09:21  (MSK)
	>Чем не нравится пересаживание на другой порт? Тем что _другой_ порт может быть закрыт  адимином той местности, где я сейчас нахожусь. А он, в свою очередь, может быть не насроен на то, что бы коверкать свои правила под меня. В свое время очень большое количество вермени мне потребовалось для того, что бы найти интернет-кафе в Питере с возожностью обращения по 22-му порту.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
Сообщение от Swap on 21-Окт-04, 10:13  (MSK)
брутфорсят ssh
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
	Сообщение от AM (??) on 21-Окт-04, 12:45  (MSK)
	>брутфорсят ssh Странно как-то брутфорсят...одни и теже глупые имена "test", "oracle". Почему "root" не пробуют? Я вот с перепугу сменил ключ, сделал его длиной 4096, passphase абракадабра 15 символов, SSH1 у меня давно уже отключен... А пока закрыл SSH нахрен, думаю ваще в глушняк закрыться, кроме 25 порта, в принципе, ничего больше и не надо.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
	Сообщение от A Clockwork Orange on 21-Окт-04, 12:50  (MSK)
	а у меня! Oct 21 11:59:57 boa named[78954]: Oct 21 11:59:57.579 client 192.168.21.7#1539: error sending response: not enough free resources Oct 21 11:59:57 boa named[78954]: Oct 21 11:59:57.637 client 192.168.21.7#1522: error sending response: not enough free resources Oct 21 11:59:57 boa named[78954]: Oct 21 11:59:57.651 client 192.168.21.7#1541: error sending response: not enough free resources Oct 21 11:59:57 boa named[78954]: Oct 21 11:59:57.657 client 192.168.21.7#1542: error sending response: not enough free resources Oct 21 11:59:58 boa named[78954]: Oct 21 11:59:58.066 client 192.168.21.7#1529: error sending response: not enough free resources Oct 21 11:59:58 boa named[78954]: Oct 21 11:59:58.073 client 192.168.21.7#1557: error sending response: not enough free resources Oct 21 11:59:58 boa named[78954]: Oct 21 11:59:58.079 client 192.168.21.7#1558: error sending response: not enough free resources Oct 21 11:59:58 boa named[78954]: Oct 21 11:59:58.094 client 192.168.21.7#1559: error sending response: not enough free resources Oct 21 11:59:58 boa named[78954]: Oct 21 11:59:58.108 client 192.168.21.7#1561: error sending response: not enough free resources Oct 21 11:59:58 boa named[78954]: Oct 21 11:59:58.122 client 192.168.21.7#1563: error sending response: not enough free resources
		Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
Сообщение от Loky on 21-Окт-04, 10:22  (MSK)
>Oct 19 00:04:38 legacy sshd[72449]: Illegal user patrick from 67.19.240.114 > >Это нормальное явление???? 1. Запрещай ssh снаружи 2. Если таки снаружи нужен ssh, то: - увеличивай длину паролей, да и вообще выполни все рекомендации лучших собаководов по паролеведению. - поменяй порт (уже было сказано) - поищи статейку по настройке sshd.conf, в частности запрети ssh v.1 - парси лог на предмет адреса любопытного и автоматом заноси в пул запретных адресов на фаерволе. Перечень неполный, все зависит от твоей фантазии и опыта почерпнутого из статей.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
	Сообщение от StSphinx (??) on 21-Окт-04, 11:40  (MSK)
	>>Oct 19 00:04:38 legacy sshd[72449]: Illegal user patrick from 67.19.240.114 >> >>Это нормальное явление???? > >1. Запрещай ssh снаружи >2. Если таки снаружи нужен ssh, то: >- увеличивай длину паролей, да и вообще выполни все рекомендации лучших собаководов >по паролеведению. >- поменяй порт (уже было сказано) >- поищи статейку по настройке sshd.conf, в частности запрети ssh v.1 >- парси лог на предмет адреса любопытного и автоматом заноси в пул >запретных адресов на фаерволе. > >Перечень неполный, все зависит от твоей фантазии и опыта почерпнутого из статей. > Тут были неплохие статейки про port knock , это одно из возможных действий по улучшению безопасности SSH.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
Сообщение от Igor_ (??) on 21-Окт-04, 12:12  (MSK)
Елки палки, ТОЧНО ТАКАЯ ЖЕ БЕДА, ТЕ ЖЕ САМЫЕ ПОПЫТКИ, только другие ip блин
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
	Сообщение от Loky on 21-Окт-04, 12:15  (MSK)
	>Елки палки, > >ТОЧНО ТАКАЯ ЖЕ БЕДА, ТЕ ЖЕ САМЫЕ ПОПЫТКИ, >только другие ip > > >блин ну дык. война "хакеры vs админы" не прекращается.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
	Сообщение от Skif (ok) on 21-Окт-04, 13:01  (MSK)
	>ну дык. война "хакеры vs админы" не прекращается. ;) А по сути - это флейм.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
	Сообщение от Loky on 21-Окт-04, 15:16  (MSK)
	>>ну дык. война "хакеры vs админы" не прекращается. > >;) > >А по сути - это флейм. flame - пламя?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
	Сообщение от Swap on 22-Окт-04, 09:31  (MSK)
	>flame - пламя? флейм - пустой треп :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
	Сообщение от Swap on 22-Окт-04, 09:34  (MSK)
	>Елки палки, > >ТОЧНО ТАКАЯ ЖЕ БЕДА, ТЕ ЖЕ САМЫЕ ПОПЫТКИ, >только другие ip > > >блин ну а что в этом такого? все юнные хакеры и еже с ними пользуют одни и теже программы в которых одни и теже политики проверки на дыры... чего удивительного?! привыкай. скоро компы будут в каждой квартире стоять у каждого подростка, всех по айпи незабанишь. Выход один - патчить, патчить и еще раз батчить и все время БДИТЬ!!!.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
Сообщение от Дмитрий Ю. Карпов on 21-Окт-04, 15:09  (MSK)
Лично я блокировал через ipfw все обращения с подобных адресов. Кроме того, я через traceroute и whois выяснял, кто провайдер и владелец этих адресов, а затем слал по E-mail жалобы. PS: интересно было бы подсунуть на подобные обращения программу, которая бы эмулировала вход в систему (т.е. выдала бы приглашение какое делает shell) и посмотреть, чего он хочет. А можно просто накидать ему в TCP-соединение тонну мусора из /dev/random...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
	Сообщение от funkblaster on 21-Окт-04, 20:00  (MSK)
	Ну это уже honey pot'ом попахивает:-)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
	Сообщение от Gennadi (ok) on 22-Окт-04, 01:09  (MSK)
	Попробуй что-то типа этого.... http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic&t=27
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
	Сообщение от ALUM on 22-Окт-04, 09:08  (MSK)
	> >Попробуй что-то типа этого.... > >http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic&t=27 О! Мои логи уже в качестве примера выложили. :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	20. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
	Сообщение от Gennadi (ok) on 22-Окт-04, 10:03  (MSK)
	>> >>Попробуй что-то типа этого.... >> >>http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic&t=27 > > >О! Мои логи уже в качестве примера выложили. :) Оперативно реагирую. :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	21. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
	Сообщение от ALUM on 22-Окт-04, 11:03  (MSK)
	>>> >>>Попробуй что-то типа этого.... >>> >>>http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic&t=27 >> >> >>О! Мои логи уже в качестве примера выложили. :) > > >Оперативно реагирую. :) Спасибо! Но вот я в ступоре, не могу приспособить для себя (я на FreeBSD) этот SSH_BLOCK скрипт. Создал файл /etc/rc.logparser #!/bin/sh cat /var/log/auth.log | grep Illegal | cut -d " " -f 10 > /etc/fw.blacklist предположим, я его запускаю 1 раз в 5 минут. Раз в сутки ротирую auth.log как мне приспособить /etc/fw.blacklist для скрипта rc.firewall, в котором мои правила?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	22. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
	Сообщение от Gennadi (ok) on 23-Окт-04, 11:58  (MSK)
	>>>> >>>>Попробуй что-то типа этого.... >>>> >>>>http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic&t=27 >>> >>> >>>О! Мои логи уже в качестве примера выложили. :) >> >> >>Оперативно реагирую. :) > >Спасибо! > >Но вот я в ступоре, не могу приспособить для себя (я на >FreeBSD) этот SSH_BLOCK скрипт. >Создал файл /etc/rc.logparser > >#!/bin/sh >cat /var/log/auth.log | grep Illegal | cut -d " " -f 10 > /etc/fw.blacklist > >предположим, я его запускаю 1 раз в 5 минут. Раз в сутки >ротирую auth.log >как мне приспособить /etc/fw.blacklist для скрипта rc.firewall, в котором мои правила? Я же не знаю структуру твоих скриптов..... Но ты можешь поекспериментировать в этом направлении..... =============================================================== #!/bin/sh # LOG="/var/lig/auth.log" # Log-file Server'a ipfw="/sbin/ipfw" ext_if="xl0" # for ARG in "Illegal" "Did" do while [ ! -z "`cat $LOG | grep $ARG | |cut -d " " -f 10`" ] do IP="`cat $LOG | grep $ARG | cut -d " " -f 10`" echo "${ipfw} add deny all from $IP to any in recv $ext_if" >> rc.firewall sed -e "s/$ARG/XXXXXXXXX/g" $LOG > ip_tmp && cp ip_tmp $LOG ; touch flag; done done # if [ -f flag ]; then firewall restart rm -f flag; fi =================================================================
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	23. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
	Сообщение от Gennadi (ok) on 24-Окт-04, 01:24  (MSK)
	>>>>> >>>>>Попробуй что-то типа этого.... >>>>> >>>>>http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic&t=27 >>>> >>>> >>>>О! Мои логи уже в качестве примера выложили. :) >>> >>> >>>Оперативно реагирую. :) >> >>Спасибо! >> >>Но вот я в ступоре, не могу приспособить для себя (я на >>FreeBSD) этот SSH_BLOCK скрипт. >>Создал файл /etc/rc.logparser >> >>#!/bin/sh >>cat /var/log/auth.log | grep Illegal | cut -d " " -f 10 > /etc/fw.blacklist >> >>предположим, я его запускаю 1 раз в 5 минут. Раз в сутки >>ротирую auth.log >>как мне приспособить /etc/fw.blacklist для скрипта rc.firewall, в котором мои правила? =====================   ssh_block.sh  ========================================= #!/bin/sh # LOG="/var/log/auth.log" # Log-file Server'a EXT_IF="xl0" ipfw="/sbin/ipfw" # for ARG in "Illegal" "Did" do while [ ! -z "`cat $LOG | grep $ARG | cut -d " " -f 10`" ] do IP="`cat $LOG | grep $ARG | cut -d " " -f 10`" echo "$IP" >> blacklist while [ ! -z "`head -n1 blacklist`" ] do IP_BLACK="`head -n1 blacklist`" echo "$ipfw add deny all from" $IP_BLACK echo "to any in recv" $ext_if >> black_firewall_tmp ###################### правила фаервола /etc/rc.firewall ######################## # Здесь нужно записать свои правила для фаервола ( Правила даны как пример!!!!) #########---> begin echo "#!/bin/sh" > black_firewall # !!! > 1 раз echo "Start firewall---" >> black_firewall echo "ipfw="/sbin/ipfw"" >> black_firewall echo "int_if="em0"" >> black_firewall echo "ext_if="xl0"" >> black_firewall echo "$ipfw add allow all from any to any via lo0" >> black_firewall echo "$ipfw add deny all from any to 127.0.0.0/8 " >> black_firewall echo "$ipfw add deny all from 127.0.0.0/8 to any in recv $ext_if" >> black_firewall echo "$ipfw add deny all from 10.0.0.0/8 to any in recv]$ext_if " >> black_firewall echo "$ipfw add deny all from 172.16.0.0/16 to any in recv $ext_if" >> black_firewall echo "$ipfw add deny all from 192.168.0.0/24 to any in recv $ext_if" >> black_firewall cat black_firewall_tmp >> black_firewall echo "$ipfw add deny all from any to any" >> black_firewall echo "echo "DONE"" >> black_firewall ########------> end chmod 755 black_firewall cp black_firewall /etc/rc.firewall sed -e "1d" blacklist > blacklist_tmp && cp blacklist_tmp blacklist done sed -e "s/$ARG/XXXXXXXXX/g" $LOG > black_ip_tmp && cp black_ip_tmp $LOG ; touch flag; done done # if [ -f flag ]; then /bin/sh /etc/rc.firewall rm -f flag; rm -f black*; # fi ================================================================================= cp ssh_block.sh /usr/local/sbin chmod 755 /usr/local/sbin/ssh_block.sh Если установишь на 5 минут, то ты даёшшь 5 минут хакеру на пробу  ssh!!! /etc/crontab: -*/1 * * * * root /usr/local/sbin/ssh_block.sh >/dev/null 2>&1
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	24. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
	Сообщение от Gennadi (ok) on 24-Окт-04, 12:06  (MSK)
	>http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic&t=27 При копировании скрипта закрались три неточности: 1. EXT_IF="xl0" заменить  на:  ext_if="xl0" 2. for ARG in "Illegal" "Did"  заменить  на:  for  ARG in "Illegal" 3. echo "$ipfw add deny all from" $IP_BLACK echo "to any in recv" $ext_if >> black_firewall_tmp заменить  на: echo "$ipfw add deny all from" $IP_BLACK "to any in recv" $ext_if >> black_firewall_tmp
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	26. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
	Сообщение от anton (??) on 26-Окт-04, 11:56  (MSK)
	>cp ssh_block.sh /usr/local/sbin >chmod 755 /usr/local/sbin/ssh_block.sh > >Если установишь на 5 минут, то ты даёшшь 5 минут хакеру на >пробу  ssh!!! > >/etc/crontab: >-*/1 * * * * root /usr/local/sbin/ssh_block.sh >/dev/null 2>&1 Судя по логу проба ssh происходит в среднем в течении минуты. Потом ip не повторяються. Так что это не вариант.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	27. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
	Сообщение от ALUM on 26-Окт-04, 17:32  (MSK)
	Короче, я ограничил подключения к порту SSH одним IP. И успокоился. Пока.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	28. "Заглянул в /var/log/auth.log - ПОПЛОХЕЛО!"
	Сообщение от ALUM on 26-Окт-04, 17:33  (MSK)
	И сразу подумал, что хорошо бы ещё и по MAC-адресу отгородиться Как это в fw=правилах написать?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.