Буду писать скрипт, блокирующий уличённые хосты. Начинать надо с создания списка:
#!/bin/sh
zcat /var/log/messages.0.bz2 | grep 'error: PAM: authentication error for' | awk '{print($15)}' | egrep -v '.nsi.ru|invitro.ru' >> /root/alerthosts
cat /root/alerthosts | sort | uniq > /root/alerthosts
Новая версия скрипта, подсчитывающая число атак с хоста.
#!/bin/sh
zcat /var/log/messages.0.bz2 | grep 'error: PAM: authentication error for' | awk '{print($13)}' | egrep -v '.nsi.ru|invitro.ru' >> /root/all_alerthosts
cat /root/all_alerthosts | sort | uniq -c > /root/alerthosts
теперь его надо составлять правила для ipfw. для этого задействую перл.
А вообще, по надо запретить вход по паролю. Но наши негоцианты уже второй месяц не могут договориться переходе контроля сервака исключительно под наш контроль..
8 комментариев:
Прошу прощения. У меня вопрос. У знакомой почему-то не открывается сайт invitro.ru. DNS резолвится правильно, но не ping, ни даже tracert не проходят. Причем tracert отваливается на первом же прыжке:
Трассировка маршрута к invitro.ru [92.53.106.37]
с максимальным числом прыжков 30:
1 * * * Превышен интервал ожидания для запроса.
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.
Так же не трейсятся и не пингуются все айпишники 92.53.106.*
Что это может быть.
а трейс до другого узла пробовали?
Да, 92.53.105.1 трейсится нормально.
Забыл добавить: провайдер - стрим.
Хм, как вариант, они могли вашу подсеть на фаере закрыть, например по причине ддоса.
У меня было то же предположение, но странно, что трейс даже до рутера не допрыгивает.
А до 194.226.102.143 трейс есть?
Гугление кажется подсказало выход:
route -f
просто route print выдал тааакую простыню :-) в которой, в частности есть строчка:
Постоянные маршруты:
....
92.53.106.0 255.255.255.0 92.168.1.0 1
....
Отправить комментарий