[Eisfair] Feature-Request für Brute_Force_Blocking

Dirk Alberti Howy-1 at gmx.de
Mi Apr 25 06:32:24 CEST 2018


Hallo Olaf,

Am 24.04.2018 um 23:13 schrieb Olaf Jaehrling:
> Hallo Dirk,
>
>
>
> BFB_MONITOR_BOT_ATTACK=yes
> Wenn das aktiviert ist blockt BFB vorübergehend den kompletten SSH-Port
> bis auf die Extra freigegebenen Adressen:
> BFB_BOT_FREE_IP_NET='192.168.10.0/24'
> BFB_BOT_FREE_IP_ADDRESS_N='8'

das habe ich aktiviert und  BFB_MONITOR_BOT_ATTACK_ATTEMPTS  =  10 gesetzt.

Trotzdem stehen in /var/btmp  massenhaft solche Einträge:

danny    ssh:notty    52.20.58.3       Mon Apr 16 22:35 - 22:35 (00:00)
danny    ssh:notty    52.20.58.3       Mon Apr 16 22:35 - 22:35 (00:00)
admin    ssh:notty    118.25.37.99     Mon Apr 16 21:37 - 21:37 (00:00)
admin    ssh:notty    118.25.37.99     Mon Apr 16 21:37 - 21:37 (00:00)
butter   ssh:notty    139.59.170.253   Mon Apr 16 21:35 - 21:35 (00:00)
butter   ssh:notty    139.59.170.253   Mon Apr 16 21:35 - 21:35 (00:00)
test     ssh:notty    62.241.131.10    Mon Apr 16 21:19 - 21:19 (00:00)
test     ssh:notty    62.241.131.10    Mon Apr 16 21:19 - 21:19 (00:00)
ubuntu   ssh:notty    178.33.218.7     Mon Apr 16 21:18 - 21:18 (00:00)
ubuntu   ssh:notty    178.33.218.7     Mon Apr 16 21:18 - 21:18 (00:00)
user     ssh:notty    5.196.65.134     Mon Apr 16 21:13 - 21:13 (00:00)
user     ssh:notty    5.196.65.134     Mon Apr 16 21:13 - 21:13 (00:00)
tomcat   ssh:notty    122.224.203.228  Mon Apr 16 21:06 - 21:06 (00:00)
tomcat   ssh:notty    122.224.203.228  Mon Apr 16 21:06 - 21:06 (00:00)
jenkins  ssh:notty    182.23.45.72     Mon Apr 16 21:02 - 21:02 (00:00)
jenkins  ssh:notty    182.23.45.72     Mon Apr 16 21:02 - 21:02 (00:00)
oracle5  ssh:notty    88.87.202.71     Mon Apr 16 20:54 - 20:54 (00:00)
oracle5  ssh:notty    88.87.202.71     Mon Apr 16 20:54 - 20:54 (00:00)
tomcat   ssh:notty    200.196.48.89    Mon Apr 16 20:18 - 20:18 (00:00)
tomcat   ssh:notty    200.196.48.89    Mon Apr 16 20:18 - 20:18 (00:00)
admin    ssh:notty    91.121.119.15    Mon Apr 16 20:16 - 20:16 (00:00)
admin    ssh:notty    91.121.119.15    Mon Apr 16 20:16 - 20:16 (00:00)
hadoop   ssh:notty    139.162.3.253    Mon Apr 16 20:05 - 20:05 (00:00)
hadoop   ssh:notty    139.162.3.253    Mon Apr 16 20:05 - 20:05 (00:00)

Heißt das, dass bei mit die Erkennung von Bot-Attacks nicht funktioniert?

Wie schon geschrieben, nach einen Reconnect, wo man ja m.W. eine neue IP 
bekommt, war der Spuk vorbei.

>
>   Ich würde einen reconnect der Internetverbindung machen lassen, dafür gibt es ja verschiedene
> Möglichkeiten.

> Nein, das würde den Rahmen sprengen. Dein Sppedport macht es so, die
> Fritzbox so der Fli4l so usw usf.

Naja dafür wäre ja die Möglichkeit, dies mittels eines eigenen Befehles 
zu tun, z.B. über fritzbox-tools usw.

> Und um es mal zuende zu spinnen, diese Angabe auch
>> genauso mit melden lassen, wie die BF-Angriffe selber, per Mail, Log
>> und/oder BFB-Webseite.
> vllt nützt dir ja BFB_RUN_COMMAND was. Das wird ausgeführt wenn eine
> Attacke erkannt wird.

Sowas meine ich, nur eben erst nach einer gewissen Anzahl von Attacken.

> Gruß
>
> Olaf
>
>

Dirk



Mehr Informationen über die Mailingliste Eisfair