salut,
 
j'en ai eu marre des illegal user à la con sur mon ssh, et plutôt que de changer le port du service je me suis mis à dev ce petit script pour bannir au moyen d'iptables les petits rigolos
 
il fonctionne en perl et s'interface avec mysql pour avoir un historique des attaques
 
j'en suis qu'au début, mais pour l'instant le script fait ceci :
 
- parse le fichier de log pour repérer les "illegal user" (on peut même envisager de ne pas se limiter à cette chaîne) et récupère l'IP et le nb de tentative (j'utilise logtail pour ne pas parser 50 fois les mêmes lignes)
- ensuite, si l'ip existe déjà on regarde si le nb d'attaques dépasse un certain nb, si c'est le cas : BAN !
- si l'ip n'est pas dans la base on l'ajoute
- une date de déban est aussi présente, et le script déban une ip au bout d'un temps définit
 
voila pour l'instant
 
notre ami black_lord est en train de faire une interface PHP pour voir très simplement qui est ban, qui ne l'est pas encore/plus
on pourra même bannir/débannir en direct une IP
 
toute contribution/critique/remarque sont les bien venues
 
le tarball :
www.blablaosa.info/ban_ip.tgz
 
dans le fichier create_ban_ip_database.txt, il faudra changer le mot de passe pour la base
dans le fichier ban_ip.pl, pareil, changer le passe, mais aussi le nom du fichier de log
 
les principales étapes de fonctionnement du script :
 

 
 
EDIT :
bon voici à mon avis la parade ultime pour laisser sshd sur le port 22 sans être emmerdé par des bots
 
vu sur http://www.debian-administration.org/
 
rajoutez simplement ces 2 lignes :  

 
et voila, si 3 tentatives échoues depuis la même IP en 300 secondes, iptables ban l'ip (pour 300 secondes apparement)
 
ultime !

Interface de contrôle par PHP permettant de :
 

• Visualiser les bannis :

• Visualiser les débannis :

• Voir les informations sur une IP :  

• Bannir/débannir une IP
• Supprimer une IP de la base

Archive dispo ici  
 
Cette interface est sous licence GPL, les icônes ont été réalisées par Jakub Steiner

ca m'interesse aussi, car y en a marre de ces attaques, mes logs en sont pleins
Si je peu vous aider, n'hesitez pas à demander

bah il y a peut-être d'autres trucs que les "illegal user" qu'on pourrait prendre en compte, mais quoi ?

Très bien ca
 
Je pourrais vous faire un petit paquet debian (à l'arrache mais bon) si ca vous interresse

pourquoi pas, mais quand on aura une version un peu plus avancée

Par contre sql lite, ou plain text ca serait pas possible
 
C'est pas un chouilla lourd mysql pour ca ?

plain text bof
sqllite pourquoi pas, j'ai jamais utilisé

J'ai la phobie de base de données c'est pour ca, fait pas attention à mes messages

Ouais, ça peut être pas mal sqlite je pense ...
A voir (c'est peut-être pas le plus important pour l'instant)
 
 
 
Flagged au passage

Tu pourrais detailler l'installation pour les gens non-SQL compliant

Tres bonne idee, j'ai l'impression que ce genre d'attaque est en pleine  expansion, 2-3 attaques quotidiennes.
Par contre, quelqu'un a une explication pourquoi les adresses ip appartiennent souvent a des boites qui ont pignon sur rue et qu'un mail a abuse ne donne pas de suite et que les attaques ne cessent pas ?

z'ont un pc vérolé sur leur rezo qui fait les attaques...

Y a pas deja ce genre d'option dans tcplogd ,portsentry ou
 iplog ?
Je sais plus dans lequel mais j'avais vu un truc qui mettais automatiquement en blacklist dans le firewall.

Perso, j'ai mis sshd sur un autre port à 4 chiffres, et aucun problèmes

heu c'est à dire ?
 
mysql [-u user] [-p] < create_ban_ip_database.txt

C'est vrai que pour ma part je suis incapable d'utiliser ce script (sa tombe bien j'en ai pas besoin ) mais une petite explication sur la mise en place et l'utilisation sa serais simpas pour ceux qui en ont besoins.

 
qui est souvent un PC zombie par ailleurs

oue et ?

l'utilité que je vois à ce script c'est que l'IP est bannie un certain temps (24h c'est bien) et qu'elle ne pourrit plus tes logs.

j'ai mis 48h dans le script mais vous pouvez le modifier
 
bon je vais faire une mini doc install/comment ça marche

petite MAJ du script dans la focntion UnBanIP

vous pensez qu'on peut aussi prendre en compte les erreurs de ce type : "Did not receive identification string from"  
?

dans 5000 chaînes ??

bien vu

dites, vous parlez de ca ?
 

certes, mais bon on en a pas tant que ça des ip différentes
 
et sinon une idée pour optimiser ça avec iptables ?

 
 
tain, j'en ai 30 pas jour, j'avais pas fait attention.
 
mais sans le bon nom de login ni mdp, ils ne peuvent rien faire ?
 
le niveau de dangerosité est élevé ?

pourquoi pas
 
mais bon, pour une connexion@home, je pense pas qu'on soit saturé

certes, mais en bannissant l'IP, il y aura plus du tout de chance qu'il trouve le bon user

quand je regarde les règles avec iptables -L FORWARD, ces règles sont à la fin justement

mais alors comment font les admins qui ont des grosses connexions ?
car les mails à abuse ne donnent rien

si je crois mais spa super pratique je crois

Salut
 
Sur une becane au taf.
Distribution Debian Woody.
 
J’ai un blem au lancement de ton script Perl.
 
J’ai crée la base de donnée ban_ip.
J’ai remplacé le mot de passe dans le script ban_ip.pl, et changer le chemin pour le fichier log.
J’ai remplacé aussi l’interface réseau ppp0 par eth0.
 
my $INTERFACE="eth0";
my $tail = `logtail -f /home/bris/log/ssh.log`;
 
Petit problème l’or de l’exécution du script
 
bris@enux:~/ban_ip$ perl ban_ip.pl
Can't locate Date/Manip.pm in @INC (@INC contains: /usr/local/lib/perl/5.6.1 /usr/local/share/perl/5.6.1 /usr/lib/perl5 /usr/share/perl5 /usr/lib/perl/5.6.1 /usr/share/perl/5.6.1 /usr/local/lib/site_perl .) at ban_ip.pl line 5.
BEGIN failed--compilation aborted at ban_ip.pl line 5.
 
Merci

il faut que tu installes le module perl Date-Manip

ok
 
mais bon j'ai surtout fait ça pour le fun, je me doute bien qu'il y a des mécanismes un peu plus efficaces qu'un bête script perl

bris@enux:~/ban_ip$ apt-cache search date-ma
libdate-manip-perl - a perl library for manipulating dates
 
libdate-manip-perl ?

vi