ssh и боты

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение Alex Keda » 2007-10-23 13:42:56

а от старого ты отключился хоть?
Убей их всех! Бог потом рассортирует...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

vygov
рядовой
Сообщения: 39
Зарегистрирован: 2007-10-09 15:12:53

Re: ssh и боты

Непрочитанное сообщение vygov » 2007-10-23 13:56:18

Прибил процесс. Разве есть еще какой-то способ?


Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение Alex Keda » 2007-10-26 17:48:08

тоже решение :)))
Убей их всех! Бог потом рассортирует...

Аватара пользователя
xelak
сержант
Сообщения: 173
Зарегистрирован: 2007-12-09 16:20:00
Откуда: Украина,Харьков
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение xelak » 2010-12-30 11:38:37

Alex Keda писал(а):

Код: Выделить всё

/usr/ports/security/pam_abl/
никто не юзал?
у меня не работает, а по самой идее - самое лучшее из того что встречал...
C pam_abl разобрался? Пытаюсь прикрутить - не работает. В базу ничего не пишет.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение Alex Keda » 2010-12-31 0:39:15

неа. я пару лет назад даже с разработчиком списывался - но у него проблема не воспроизвелась=((
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dmtr
ст. прапорщик
Сообщения: 545
Зарегистрирован: 2009-11-06 22:01:34
Откуда: с Ростова

Re: ssh и боты

Непрочитанное сообщение dmtr » 2010-12-31 10:03:43

2xelak

Код: Выделить всё

/usr/ports/security/py-fail2ban
можт подойдет? у себя недавно настроил (пока только на ssh) - блочит, отчет присылает

статья - http://www.lissyara.su/articles/freebsd ... /fail2ban/
This game has no name. It will never be the same.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение Alex Keda » 2010-12-31 10:43:15

питон - ф топку
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dmtr
ст. прапорщик
Сообщения: 545
Зарегистрирован: 2009-11-06 22:01:34
Откуда: с Ростова

Re: ssh и боты

Непрочитанное сообщение dmtr » 2010-12-31 10:47:12

питон - ф топку
а пачяму?
This game has no name. It will never be the same.

Аватара пользователя
unix-admin
ст. сержант
Сообщения: 324
Зарегистрирован: 2010-11-26 12:43:04
Откуда: Cornucopia

Re: ssh и боты

Непрочитанное сообщение unix-admin » 2011-01-02 20:47:28

/usr/ports/security/bruteforceblocker

Аватара пользователя
xelak
сержант
Сообщения: 173
Зарегистрирован: 2007-12-09 16:20:00
Откуда: Украина,Харьков
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение xelak » 2011-01-03 12:13:22

dmtr писал(а):2xelak

Код: Выделить всё

/usr/ports/security/py-fail2ban
можт подойдет? у себя недавно настроил (пока только на ssh) - блочит, отчет присылает

статья - http://www.lissyara.su/articles/freebsd ... /fail2ban/
unix-admin писал(а):/usr/ports/security/bruteforceblocker
Нее...тут фишка в том, что мне нужно блокировать пользователя, а не хост с которого пытаются подобрать пароль, тоесть без фаервола.
Alex Keda писал(а):неа. я пару лет назад даже с разработчиком списывался - но у него проблема не воспроизвелась=((
Странно...может ему еще раз напомнить...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение Alex Keda » 2011-01-03 17:25:03

http://lists.freebsd.org/pipermail/free ... 24253.html
лучше потестируй
может я чего не так делал
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение Alex Keda » 2011-01-03 17:32:58

Код: Выделить всё

PasswordAuthentication yes
в конфиге sshd решило проблему.
но как-то теперь странно оно выглядит при попытке логина - аж пять раз позвоялет неверный пасс вводить
Убей их всех! Бог потом рассортирует...

Аватара пользователя
xelak
сержант
Сообщения: 173
Зарегистрирован: 2007-12-09 16:20:00
Откуда: Украина,Харьков
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение xelak » 2011-01-03 17:56:31

Alex Keda писал(а):

Код: Выделить всё

PasswordAuthentication yes
в конфиге sshd решило проблему.
но как-то теперь странно оно выглядит при попытке логина - аж пять раз позвоялет неверный пасс вводить
Че-то у меня не решило, всеравно при правильном пароле блочит доступ...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение Alex Keda » 2011-01-03 19:46:02

в дебаге что?
куда и какие строки добавлял?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение Alex Keda » 2011-01-03 20:34:43

мда... всё не так ровно, вроде.
теперь на другой машине не работает
надо колупаться.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
xelak
сержант
Сообщения: 173
Зарегистрирован: 2007-12-09 16:20:00
Откуда: Украина,Харьков
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение xelak » 2011-01-04 11:32:44

Поколупался...
Получилось так:
убрал из /etc/ssh/sshd_config

Код: Выделить всё

PasswordAuthentication yes
покурил немного

Код: Выделить всё

man pam.d
и добавил в /etc/pam.d/sshd

Код: Выделить всё

# PAM configuration for the "sshd" service                                                                                                                                                                                                                                     
#                                                                                                                                                                                                                                                                              
# auth                                                                                                                                                                                                                                                                         
auth            required        /usr/local/lib/pam_abl.so       config=/usr/local/etc/pam_abl.conf                                                                                                                                                                             
auth            sufficient      pam_opie.so             no_warn no_fake_prompts                                                                                                                                                                                                
auth            requisite       pam_opieaccess.so       no_warn allow_local                                                                                                                                                                                                    
#auth           sufficient      pam_krb5.so             no_warn try_first_pass                                                                                                                                                                                                 
#auth           sufficient      pam_ssh.so              no_warn try_first_pass                                                                                                                                                                                                 
auth            binding         pam_unix.so             no_warn try_first_pass                                                                                                                                                                                                 
auth            required        /usr/local/lib/pam_abl.so       config=/usr/local/etc/pam_abl.conf                                                                                                                                                                             
                                                                                                                                                                          
                                                                                                                                                    
# account                                                                                                                                                                                                                                                                      
account         required        pam_nologin.so                                                                                                                                                                                                                                 
#account        required        pam_krb5.so                                                                                                                                                                                                                                    
account         required        pam_login_access.so                                                                                                                                                                                                                            
account         required        pam_unix.so                                                                                                                                                                                                                                    
                                                                                                                                                                                                                                                                               
# session                                                                                                                                                                                                                                                                      
#session        optional        pam_ssh.so                                                                                                                                                                                                                                     
session         required        pam_permit.so                                                                                                                                                                                                                                  
                                                                                                                                                                                                                                                                               
# password                                                                                                                                                                                                                                                                     
#password       sufficient      pam_krb5.so             no_warn try_first_pass                                                                                                                                                                                                 
password        sufficient      pam_unix.so             no_warn try_first_pass                                                                                                                                                                                                 
#auth            required        /usr/local/lib/pam_abl.so       config=/usr/local/etc/pam_abl.conf                                                                                                                                                                            
#auth            required        /usr/local/lib/pam_abl.so       config=/usr/local/etc/pam_abl.conf
Заменил

Код: Выделить всё

auth            required         pam_unix.so             no_warn try_first_pass
на

Код: Выделить всё

auth            binding         pam_unix.so             no_warn try_first_pass
Поставил

Код: Выделить всё

auth            required        /usr/local/lib/pam_abl.so       config=/usr/local/etc/pam_abl.conf 
в начало и конец секции auth.

Так все работает как надо.

:Yahoo!:

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение Alex Keda » 2011-01-05 22:39:15

нормальных не банит?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение Alex Keda » 2011-01-05 23:16:09

мда. чё-то ненормальных тоже не блочит
по крайней мере хосты

Код: Выделить всё

Failed hosts:
    133.31.127.213 (506)
        Blocking users [*]
srv1# 
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение Alex Keda » 2011-01-05 23:44:51

Код: Выделить всё

srv0# cat /root/scripts/tmp/ssh.bruteforce.sh
#!/bin/sh

PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin

table="/root/scripts/db/table.22.txt"

grep pam_abl /var/log/auth.log | awk '{print $9}' | sort | uniq |
{
while read ip
do
        if grep ^$ip\$ $table >/dev/null 2>&1
        then
                # banned
        else
                echo $ip >> $table
                echo $ip | mail -s ssh_banned admin@lissyara.su
        fi
done
}
дополнил небольшим скриптом на sh
пока в режиме тестирования. наблюдаю.
Убей их всех! Бог потом рассортирует...