[Eisfair] Feature-Request für Brute_Force_Blocking

Olaf Jaehrling eisfair at ojaehrling.de
Di Apr 24 23:13:40 CEST 2018


Hallo Dirk,

Dirk Alberti schrieb am 19.04.2018 um 01:58:
> Hallo zusammen,
> 
> 
> ich hatte gestern eine ungewöhnliche Häufung von Login-Versuchen auf
> SSH, welche von BFB abgewehrt und gemeldet, sowie die zugehörigen IPs
> geblockt wurden. Ich vermute ein Botnetz, weil die IPs quasi aus fast
> der ganzen Welt stammten. Und es nahm keine Ende, bis ich meinen
> Speedport einen reconnect durchführen ließ, welcher zu einer anderen IP
> führte. Seitdem kommen nur noch hin und wieder die üblichen einzelnen
> Portscans an.
> Da wäre es doch gut, wenn man in BFB eine Option hätte, nach einer
> gewissen Anzahl von Angriffen auf ein und denselben Service, einen
> definierten Befehl ausführen lassen zu können.

Diese Funktion gibt es bei BFB.
BFB_MONITOR_BOT_ATTACK=yes
Wenn das aktiviert ist blockt BFB vorübergehend den kompletten SSH-Port
bis auf die Extra freigegebenen Adressen:
BFB_BOT_FREE_IP_NET='192.168.10.0/24'
BFB_BOT_FREE_IP_ADDRESS_N='8'


 Ich würde einen reconnect
> der Internetverbindung machen lassen, dafür gibt es ja verschiedene
> Möglichkeiten. 

Nein, das würde den Rahmen sprengen. Dein Sppedport macht es so, die
Fritzbox so der Fli4l so usw usf.

Und um es mal zuende zu spinnen, diese Angabe auch
> genauso mit melden lassen, wie die BF-Angriffe selber, per Mail, Log
> und/oder BFB-Webseite.

vllt nützt dir ja BFB_RUN_COMMAND was. Das wird ausgeführt wenn eine
Attacke erkannt wird.

Gruß

Olaf

> 
> Gruß
> 
> Dirk
> 
> 
> 


Mehr Informationen über die Mailingliste Eisfair