Nu ik weer thuis zit kan ik het e.e.a. laten zien.
Hier een stukje uit de email die je krijgt van BFD
code:
1
2
3
4
5
6
7
8
9
10
| The remote system 200.201.30.12 was found to have exceeded acceptable login failures on cylindrical.xxxxxxxxxxx.com. As such the attacking host has been banned from further accessing this system; for the integrity of your host you should investigate this event as soon as possible.
The following are event logs for exceeded login failures from 200.201.30.12 on service sshd (all time stamps are GMT -0500):
----
- Executed actions:
/etc/apf/apf -d 200.201.30.12
- Log events from /var/log/messages:
May 23 11:21:06 cylindrical kernel: ** SSH ** IN=eth0 OUT= MAC=00:0d:61:b5:b1:a5:00:d0:02:06:08:00:08:00 SRC=200.201.30.12 DST=xx.xx.xx.xx LEN=48 TOS=0x04 PREC=0x00 TTL=114 ID=44509 PROTO=TCP SPT=52987 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0
May 23 11:21:06 cylindrical kernel: ** SSH ** IN=eth0 OUT= MAC=00:0d:61:b5:b1:a5:00:d0:02:06:08:00:08:00 SRC=200.201.30.12 DST=xx.xx.xx.xx LEN=48 TOS=0x04 PREC=0x00 TTL=114 ID=64539 PROTO=TCP SPT=52987 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 |
De eigenlijke email is langer maar dit laat een goede impressie zien.
/etc/apf/apf -d 200.201.30.12
is de regel dus die naar de blacklist schrijft en de APF gelijk opdracht geeft om het actueel te maken, dit gebeurd dus gelijk en niet laat we zeggen één keer per uur ofzo.
In de config van BFD staat het pad waar het geinstalleerd is, waar de rules staan, waar de log files heen gaan, waar de emails naar toe moeten of juist geen email verzonden moet worden.
Waar de rules staan kan ingesteld worden apache, proftpd, rh_imap, rh_pop3 en sshd. Bij jouw gaat het om sshd dus die zal ik even behandelen.
code:
1
2
3
4
5
6
7
8
9
| LP="/var/log/messages"
TLOG_TF="sshd"
TRIG="3"
TMP="/usr/local/bfd/tmp"
ARG_VAL1=`$TLOGP $LP $TLOG_TF.1 | grep sshd | grep -vw "ruser=" | grep -iwf $PATTERN_FILE | grep -vw "for illegal" | awk '{print$11":"$9}' > $TMP/.sshd`
ARG_VAL2=`$TLOGP $LP $TLOG_TF.2 | grep sshd | grep -vw "ruser=" | grep -iwf $PATTERN_FILE | grep -w "for illegal" | awk '{print$13":"$11}' >> $TMP/.sshd`
ARG_VAL3=`$TLOGP $LP $TLOG_TF.3 | grep sshd | grep -w "ruser=" | grep -iwf $PATTERN_FILE | grep -vw "for illegal" | tr '[]=' ' ' | awk '{print$19":"$21}' >> $TMP/.sshd`
ARG_VAL=`cat $TMP/.sshd` |
Is dus de cfg file van sshd dus 3 foute inlog en je leg eruit het maak dus niet uit of er 10 minuten tussen zit of 10 dagen 3 foute pogingen en het is in de firewall.
Er is daar voor ook een whitelist gemaakt en daar zet je natuurlijk je eigen ip nummer in, zo doende kan je altijd nog in je syteem komen.
De APF is erg complex je kan vanalles instellen en daarbij ook welke poorten, dat zou je even na moeten lezen.
In die paar maanden die ik het gebruikt zijn er in totaal 338 emails naar mij verzonden, en staan er zo 179 ip nummers in mijn blacklist. Waar ik in het begin veel emails kreeg heb ik nu misschien nog 1 per 3 a 4 dagen. Na een paar uur krijg je namelijk geen email meer voor iemand die in je blacklist staat.
[
Voor 5% gewijzigd door
we_are_borg op 26-05-2005 16:01
]
You need the computing power of a P1, 16 MB RAM and 1 GB Harddisk to run Win95. It took the computing power of 3 Commodore 64 to fly to the Moon. Something is wrong here, and it wasn't the Apollo.
/u/34216/avatar-60x60.png?f=community){kind=avatar}
).:strip_exif()/u/11342/S_borg98.gif?f=community)
:strip_icc():strip_exif()/u/81151/1786-30Roi.jpg?f=community)
