Задолбали ssh-сканеры!

enyuri · 19.05.2006

Привет!
Если ты читаешь эти строки, значит знаешь, про что я говорю.
Меня совсем задолбали, и я решил положить этому конец. Способов много, но я расскажу самый мне приглянувшийся по блокировке bruteforce роботов. Идея кроется в ограничении установленных коннекций на 22 порт за единицу времени. Для Линукса и iptabes это выглядит так:
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --set
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --update --seconds 60 --hitcount 3 -j REJECT
Эти правила разрешают устанавливать только 3 коннекции в течении минуты. Роботы не выносят ждать долго, и после трех попыток уходят.

Удачи!

Bad_Boy · 25.05.2006

О, это как раз то что мне нужно. Только у меня FreeBSD. Не подскажете как сделать тоже самое в ipfw ?

E-van · 25.05.2006

присоединяюсь к просьбе Bad_Boy - тоже актуально для freebsd

_ada · 26.05.2006

А нафига? Рута ssh все равно не пустит, если он правильно настроен, а подбирать кроме пароля еще и логин -- занятие мягко говоря бесперспективное.

GM. · 26.05.2006

для фрюхи в /etc/ssh/sshd.config

MaxStartups 5:50:10
# после 5 неправильных регистраций, отторгать 50% новых подключений, и
# не отвечать совсем, если число неправильных регистраций превысило 10

prox · 07.06.2006

Весьма полезная вешь

tsar · 08.06.2006

А может просто зарезать 22 порт на маршрутизаторе со всего, кроме нужного, ну или использовать hosts.allow

shalomp1 · 16.06.2006

a 4o eto takoe ssh ???

n025 · 21.06.2006

Bad_Boy сказал(а):
О, это как раз то что мне нужно. Только у меня FreeBSD. Не подскажете как сделать тоже самое в ipfw ?

есть статья как зарубать боты тока она для pf, он ип откуда долбяца добовляет в блэк лист и враг побеждён) во фре он есть. в ipfw к сожалению так нельзя (если тока руками.

enyuri · 22.06.2006

shalomp1 сказал(а):
a 4o eto takoe ssh ???

Security SHell
Типа telnet, но использующий шифрованную передачу данных между клиентом и сервером.

ant · 29.06.2006

По-моему, проще всего порт закрыть и не мучаться

Silver Ghost · 02.07.2006

Нашел на опеннете.

iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 22 -m recent --rcheck --name SSH -j ACCEPT
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1499 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1500 -m recent --name SSH --set -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1501 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -p tcp --dport 22 -j DROP

На 22 коннект закрыт пока не стукнешься на 1500.
telnet myhost 1500
и мой IP заносится в список, теперь можно на 22 коннектить...

Нашел на опеннете.

iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 22 -m recent --rcheck --name SSH -j ACCEPT
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1499 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1500 -m recent --name SSH --set -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1501 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -p tcp --dport 22 -j DROP

telnet myhost 1501
или
telnet myhost 1499
и мой IP выносится из спискф, теперь 22 порт опять закрыт...

Vah · 10.07.2006

Давно уже читаю тему.....
проще всего в конфиг ссхд настроить.......... ничего страшного в брутфорсе не вижу при нормальньй настройке ссхд и пароле не в 2-3 символа а минимум в 8....

Непонимаю такого параноидального везде и всюду юзать файрвол и зарубать все что можно......
Давайте тогда отключим все сервера от сети чтоб их недайбоже не просканировали......

ЗЫ: mail.ru регулярно сканируют мои сервера на наличие анонимных проксей и open relay'ев...... и что мне теперь банить их зверски??

tsar · 10.07.2006

Vah сказал(а):
ЗЫ: mail.ru регулярно сканируют мои сервера на наличие анонимных проксей и open relay'ев...... и что мне теперь банить их зверски??

В баню этих негодяев

)

ilya_kz · 18.09.2006

Спасибо.

Silver Ghost сказал(а):
Нашел на опеннете.

iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 22 -m recent --rcheck --name SSH -j ACCEPT
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1499 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1500 -m recent --name SSH --set -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1501 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -p tcp --dport 22 -j DROP

На 22 коннект закрыт пока не стукнешься на 1500.
telnet myhost 1500
и мой IP заносится в список, теперь можно на 22 коннектить...

Нашел на опеннете.

iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 22 -m recent --rcheck --name SSH -j ACCEPT
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1499 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1500 -m recent --name SSH --set -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1501 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -p tcp --dport 22 -j DROP

telnet myhost 1501
или
telnet myhost 1499
и мой IP выносится из спискф, теперь 22 порт опять закрыт...

Спасибо все работает.

Поиск

Задолбали ssh-сканеры!

enyuri

Active member

Bad_Boy

New member

E-van

Active member

_ada

New member

GM.

New member

prox

New member

tsar

New member

shalomp1

New member

n025

New member

enyuri

Active member

ant

New member

Silver Ghost

New member

Vah

Member

tsar

New member

ilya_kz

New member

Юридическое предупреждение

Правила форума