четверг, 20 ноября 2008 г.

Брутфорс www.invitro.ru

Активно брутфорсят www.invitro.ru, есть подозрение, что работает ботнет - с разных узлов одинаковые попытки, что, ИМХО, не очень-то логично.

Буду писать скрипт, блокирующий уличённые хосты. Начинать надо с создания списка:
#!/bin/sh
zcat /var/log/messages.0.bz2 | grep 'error: PAM: authentication error for' | awk '{print($15)}' | egrep -v '.nsi.ru|invitro.ru' >> /root/alerthosts
cat /root/alerthosts | sort | uniq > /root/alerthosts

Новая версия скрипта, подсчитывающая число атак с хоста.

#!/bin/sh
zcat /var/log/messages.0.bz2 | grep 'error: PAM: authentication error for' | awk '{print($13)}' | egrep -v '.nsi.ru|invitro.ru' >> /root/all_alerthosts
cat /root/all_alerthosts | sort | uniq -c > /root/alerthosts


теперь его надо составлять правила для ipfw. для этого задействую перл.

А вообще, по надо запретить вход по паролю. Но наши негоцианты уже второй месяц не могут договориться переходе контроля сервака исключительно под наш контроль..

8 комментариев:

openid комментирует...

Прошу прощения. У меня вопрос. У знакомой почему-то не открывается сайт invitro.ru. DNS резолвится правильно, но не ping, ни даже tracert не проходят. Причем tracert отваливается на первом же прыжке:
Трассировка маршрута к invitro.ru [92.53.106.37]
с максимальным числом прыжков 30:

1 * * * Превышен интервал ожидания для запроса.
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.

Так же не трейсятся и не пингуются все айпишники 92.53.106.*

Что это может быть.

AccessD комментирует...

а трейс до другого узла пробовали?

Alick комментирует...

Да, 92.53.105.1 трейсится нормально.

Alick комментирует...

Забыл добавить: провайдер - стрим.

AccessD комментирует...

Хм, как вариант, они могли вашу подсеть на фаере закрыть, например по причине ддоса.

Alick комментирует...

У меня было то же предположение, но странно, что трейс даже до рутера не допрыгивает.

AccessD комментирует...

А до 194.226.102.143 трейс есть?

Alick комментирует...

Гугление кажется подсказало выход:
route -f


просто route print выдал тааакую простыню :-) в которой, в частности есть строчка:

Постоянные маршруты:
....
92.53.106.0 255.255.255.0 92.168.1.0 1
....