(re)azione a tentativo di intrusione SSH
Riccardo Bini
rick a dualmedia.it
Mar 29 Nov 2005 08:34:31 UTC
> Questo era un "duro": di solito si "stancano" in 3-4 minuti ('sti script).
> Noto, oltre a tutto, che gli attacchi avvengono in modo "seriale" e non in
> parallelo (da più host), anche se la cosa non presenta ovviamente certezza
> matematica: statisticamente ho visto che è così.
>
> La domanda, quindi: qualcuno (1) pensa che il problema possa essere serio
> o (2) ha pensato/fatto qualcosa in merito?
>
> Io, più per "divertimento" che altro, pensavo ad una piccola
> cron/automazione che (1) facesse un tail degli ultimi 50-100 record dei
> messages, (2) verificasse la presenza di record in formato "sshd ... Failed
> password ...", (3) reccogliesse l'IP dell'intruder (lol) e lo inserisse in
> una BlackList locale, (4) inserisse una regola "drop" nel firewall sul
> quell'IP, (5) passasse a "liberare" dalla BlackList eventuali IP non più
> presenti... così a braccio. ;)
>
> Un cron che girasse ogni 5' (o anche 2-3')... commenti?
Guarda qui:
http://freshmeat.net/search/?q=ssh+brute§ion=projects&Go.x=0&Go.y=0
Ciao
Rick
Maggiori informazioni sulla lista
Lug
|