(re)azione a tentativo di intrusione SSH
Michele Bonera
michele a bonera.biz
Lun 28 Nov 2005 20:25:10 UTC
Alle Monday 28 November 2005 19:20, Luca Coianiz ha scritto:
> Da un pò di tempo a questa parte ricevo, come penso molti altri, una serie
> di "scan" SSH (tentativi di login)... tentativi, a mio parere, piuttosto
> inutili in quanto (1) non ho account "del cavolo" (Guest, Test, Admin, ecc.
> :D) e (2) la sicurezza delle password degli account esistenti è stata
[....]
> La domanda, quindi: qualcuno (1) pensa che il problema possa essere serio
> o (2) ha pensato/fatto qualcosa in merito?
Io uso metalog, che mi permette di eseguire delle azioni qualora una delle
entry nel log corrisponda alla stringa impostata.
Esempio: blocco tutti i tentativi di login ssh con pwd sbagliata.
Estratto da /etc/metalog.conf
------------------------------
Illegal SSH user:
program = "sshd"
regex = "Illegal user"
command = "/usr/local/sbin/illegal_ssh_user.sh"
logdir = "/var/log/auth"
/usr/local/sbin/illegal_ssh_user.sh
-----------------------------------
#!/bin/sh
RECIPIENT="michele a bonera.biz"
FROM="metalog a bonera.biz"
SUBJECT="Illegal SSH user"
IP=`echo $3 | cut -d: -f 4`
BODY="Illegal SSH user Login\nBlocking ip $IP\n\n"
BODY="${BODY}Date: $1\n"
BODY="${BODY}Program: $2\n"
BODY="${BODY}Message: $3\n"
BODY="${BODY}\n---------------------------------\n"
iptables -A INPUT -s $IP -j DROP
whois $IP > /tmp/whois
( echo -e $BODY ; cat /tmp/whois ) | mail -s "$SUBJECT" -a "From: $FROM"
$RECIPIENT
Così, ogni volta che qualcuno tenta di loggarsi e sbaglia la password, il
metalog lo rileva e lancia il comando relativo che blocca l'ip mediante il
firewall, recupera informazioni sul network di provenienza tramite whois e mi
spedisce una mail per avvisarmi.
Byez
--
Michele Bonera
michele a bonera.biz
Maggiori informazioni sulla lista
Lug
|