Re: attaque force brute SSH

Page principale

Répondre à ce message
Auteur: François Visconte
Date:  
À: Jerome KIEFFER
CC: guilde
Sujet: Re: attaque force brute SSH
Salut,
Ma réponse est peut etre HS mais j'utilise OpenBSD sur mon firewall avec
PF et j'ai fait comme suit:

- J'utilise un script qui analyse mes logs de connection SSH et qui me
sort toutes les IP qui ont essayé de se connecter
avec un user qui n'existe pas.... (asser crade le script)
- J'utilise une table persistante dans mon firewall ( c'est possible
aussi sous iptables ) de la maniere suivante:

--------------------/etc/pf.conf
-------------------------------------------------------
...
table <bad_guys> persist file "/etc/pf_adm/bad_guys"
...
block drop in quick on $ext_if inet proto tcp from <bad_guys> to any
port $tcp_ssh
....
----------------------------------------------------------------------------------------------

- le script mk_badguys.sh est lancé dans un cron toutes les minutes...


--
fv




---- mk_badguys.sh ----

#!/bin/sh
BAD_GUYS_FILE=/etc/pf_adm/bad_guys
BAD_GUYS=$( grep "sshd" /var/log/authlog | grep "Failed password for
invalid user" | awk '{print $13}' | perl -ne 'if ( $_ =~
/\d+\.\d+\.\d+\.\d+/ ) { print ; };'|sort | uniq )

# echo $BAD_GUYS
echo $BAD_GUYS > /tmp/bad_guys
perl -i -pe 's/\s+/\n/g' /tmp/bad_guys
cat $BAD_GUYS_FILE >> /tmp/bad_guys
sort /tmp/bad_guys > /tmp/bad_guys.new
uniq /tmp/bad_guys.new > $BAD_GUYS_FILE
perl -i -pe 's/^\s*$//g' $BAD_GUYS_FILE
perl -i -pe 's/\s+/\n/g' $BAD_GUYS_FILE
pfctl -t bad_guys -Tl -f /etc/pf.conf
-------

Jerome KIEFFER wrote:

>Salut,
>
>Depuis quelque temps, j'ai une machine qui est attaquée systematiquement par SSH. J'ai noté des centaines de tentatives de connexions avec differents login (aucun n'existait). La machine etant en IP dynamique, j'ai changé d'IP pour calmer la chose mais bon ...
>Existe il un moyen de dire a sshd de ne plus répondre a l'assaillant ?
>(une solution alternative a un analyseur de logs + firewall dynamique)
>
>Merci de vos astuces. A+
>
>