The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Автоматическая блокировка злоумышленников под Linux

04.11.2004 11:22

Статья в которой излагается одно из решений по автоматической блокировке IP-адресов по определённому признаку в лог-файле. Приводятся примеры скриптов блокировки для apache (блокируется адреса сканирующие типовые уязвимости в cgi-скриптах) и SSH (попытка входа при неоднократном вводе неправильного пароля).

  1. Главная ссылка к новости (http://gennadi.dyn.ee/modules....)
Лицензия: CC-BY
Тип: яз. русский / Практикум
Короткая ссылка: https://opennet.ru/4602-security
Ключевые слова: security, apache, ssh, iptables, shell, limit, block, linux
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (16) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, rs (?), 11:57, 04/11/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >cat $LOG | grep $ARG | head -1 | cut -d " " -f 1

    мда
    не позорились бы лучше...

     
     
  • 2.2, s_dog (??), 14:06, 04/11/2004 [^] [^^] [^^^] [ответить]  
  • +/
    chem huzhe? ;) kazhdyj   kak hochet.
     
  • 2.6, Gennadi (??), 18:16, 04/11/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >cat $LOG | grep $ARG | head -1 | cut -d " " -f 1

    А в чём проблема?...

    Импровизируйте....

    Преложите альтернативу.... Всем будет интересно.

     

  • 1.3, Аноним (3), 14:45, 04/11/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    если локально блокировать, то лучше чем
    alias ls=logout
    наверное еще непридумали :)
     
  • 1.4, Аноним (3), 15:09, 04/11/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кажись не следует делать так, как автор. Ибо даже почитать его произведение не удаётся :)
    $ telnet gennadi.dyn.ee 80
    Trying 80.143.147.136...
    telnet: connect to address 80.143.147.136: Connection timed out
    На мой взгляд автор перестарался с автоматической блокировкой "злоумышленников", или у него в конец обострилась хроническая паранойя :) Я то его точно не сканировал.
     
     
  • 2.7, Gennadi (??), 18:20, 04/11/2004 [^] [^^] [^^^] [ответить]  
  • +/

    Кто ж тебе виноват что у тебя проблемы с интернетом....

    больше 1000 посещений за сегодняшний день.

     
     
  • 3.14, Аноним (-), 00:41, 06/11/2004 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто ж тебе виноват что у тебя проблемы с интернетом....
    Может быть...

    Во всяком случае сразу после прочтения, подумалось про DoS веб-сервера путём подстановки в HTTP-запросы, содержащие сигнатуры атак, ip-адресов узлов, которым надо закрыть досутп к такому серверу (к примеру, если имеются филиалы компании, пользующиеся веб-приложением данного веб-сервера).
    Но такие статьи нужны, так как подталкивают мыслить. Спасибо за труд Gennadi. :)

     

  • 1.5, qwerty (??), 16:39, 04/11/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    нормально придумано, а вам нефиг его критиковать , если такие умные, взяли бы и что нить подобное написали б в общий доступ..
     
  • 1.8, Dimez (??), 18:28, 04/11/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Гыгы :) Я сделал по-другому :)

    redirect /_vti_bin http://www.microsoft.com
    redirect /scripts http://www.microsoft.com
    redirect /MSADC http://www.microsoft.com
    redirect /c http://www.microsoft.com
    redirect /d http://www.microsoft.com
    redirect /_mem_bin http://www.microsoft.com
    redirect /msadc http://www.microsoft.com
    redirect /default.ida http://www.microsoft.com
    RedirectMatch (.*)\cmd.exe$ http://www.microsoft.com$1

     
     
  • 2.9, Дмитрий Ю. Карпов (?), 20:14, 04/11/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Это приятно, но можно попробовать вместо редиректа выдавать что-то, похожее на результат удачного взлома (список файлов на диске C: реальной машины или просто текст, который должен вывалиться при запуске cmd.exe).
     
     
  • 3.10, ASSA (?), 04:14, 05/11/2004 [^] [^^] [^^^] [ответить]  
  • +/
    A ne proche li dobavit' v httpd.conf
    ErrorDocument 404 /cgi-bin/error.pl

    a v skripre proverjat' stroku na nalichie > default.ise cmd.exe itd itp

     

  • 1.11, anton (??), 11:43, 05/11/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Про ssh. Сталкивался с проблемой, подбор паролей судя полога в 90% случаев занимает меньше минуты и ip затем не повторяються. Так что все решния через крон пустая трата времени.
     
  • 1.12, Аноним (12), 17:11, 05/11/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так быстро???
    Нахрена мне тогда лялик нужен?
    Всё!!! Ставлю винду! Её за минуту не сломаешь....
     
     
  • 2.13, anton (??), 17:15, 05/11/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Что так быстро? Секунд тридцать подбирают (паролей 5 успевают за раз проверить), потом отключаються. В следующий раз уже с другого ip адресса. И кто такой "Лялик" ???
     

  • 1.15, Beginner (??), 18:06, 07/11/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как насчет того что при подмене адресов будут блокироваться адреса нормальных пользователей?
    Так можно стать недоступным с половины Интернета.
     
  • 1.16, DIO (?), 11:34, 02/01/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Iz pod windy vse gorazdo proshe!
    Hot ugrobish paru nedel na gramotnuyu nastroiku, poobrubaesh vse servicy, postavish prilichny faer,browser etc, pokopaeshsya v registry, no uzh togda vse budet tip-top! nikakaya suka ne proidet...
    i s oborudovaniem net takogo gimora : est driver - postavish ustroistvo, net - tak izvinyay... a v lin...i faerov, i antivirey(bespoleznyh, po bolshey chasti:-(...) pod windu assortiment pobolee. eshe kto mustdie posle etogo?!
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру