Брутфорс ProFTPD, sshit?

[Гость]

Привет всем.

Возникла проблема - боты упорно долбят root и administrator на профтпд. Хотелось бы заткнуть, ибо во 1 лишняя нагрузка, во 2 - вдруг додолбят

На сервере стоит SSHIT, который банит через IPFW пободных чудиков на SSH.
Искал по портам и наткнулся:

Port: sshit-0.6_4
Path: /usr/ports/security/sshit
Info: Checks for SSH/FTP bruteforce and blocks given IPs

Т.е. по логике он должен уметь резать и атаки на фтп? Погуглил, внятной документации на эту тему нет

Может, кто пробовал?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

порт поменяй

[Гость]

Не могу, там фтп не только для меня, но и для юзеров.

[zingel]

лишняя нагрузка - отруби логи и настрой доступ из своих подесетей.

[Гость]

Сервер смотрит в Интернет, не в конкретную подсеть

Логи вырубать страшно..

[Laa]

Я тоже об этом думаю, тоже есть такая же проблема.

Пока вижу как вариант использовать явные разрешения для каждого пользователя откуда можно коннектиться через pure-pw. Криво, но тем не менее...

[koffu]

Попробовать установить в pf правило с max-src-conn-rate 2/60 и флагами S/SA, нормальный клиент не будет логиниться/разлогиниться 20 раз в секунду

[Гость]

Ну я пока подобным образом сделал, но через inetd.

[ФТП]

Та же проблема столкнулся подбором паролей на фтп (pure-ftpd).
Решал кто нить и как?

[ProFTP]

элементарно, смотреть логи, те кто дрочат, тех банить по ipfw

[server801]

denyhosts не?

[arkan]

боты упорно долбят root и administrator на профтпд. Хотелось бы заткнуть, ибо вдруг додолбят

да вы батенька камикадзе однако
попробуйте вот это ftpasswd
http://www.castaglia.org/proftpd/contrib/ftpasswd.html

[kabachok]

http://samm.kiev.ua/bruteblock/

[snorlov]

Port: sshit-0.6_4
Path: /usr/ports/security/sshit
Info: Checks for SSH/FTP bruteforce and blocks given IPs
Т.е. по логике он должен уметь резать и атаки на фтп? Погуглил, внятной документации на эту тему нет
Может, кто пробовал?

Sshit тупо разбирает строку, которую пишут auth.info, на поиск слов типа invalid user, ну и т.д. и если они встречаются, то идет дальнейший разбор на определение ip или dns-имени компьютера с которого пытаются осуществить вход, который затем добавляется в таблицу для файрвола, если попыток больше указанного вами числа.
Добавьте необходимые слова и натравите его на соответствующий лог. Я к примеру в sshit добавлял user root, ну есть у нас чудаки, которые не знают, что по умолчанию root в Free не может зайти по ssh