[Eisfair] Feature-Re?==?utf-8?Q?quest für Brute_Force_Block?==?utf-8?Q?ing
Olaf Jaehrling
eisfair at ojaehrling.de
Mi Apr 25 14:40:07 CEST 2018
Hallo Dirk,
Dirk Alberti schrieb am Wed, 25 April 2018 06:32
> Hallo Olaf,
>
> Am 24.04.2018 um 23:13 schrieb Olaf Jaehrling:
> > Hallo Dirk,
> >
> >
> >
> > BFB_MONITOR_BOT_ATTACK=yes
> > Wenn das aktiviert ist blockt BFB vorübergehend den kompletten
> > SSH-Port
> > bis auf die Extra freigegebenen Adressen:
> > BFB_BOT_FREE_IP_NET='192.168.10.0/24'
> > BFB_BOT_FREE_IP_ADDRESS_N='8'
>
> das habe ich aktiviert und BFB_MONITOR_BOT_ATTACK_ATTEMPTS =
> 10 gesetzt.
>
> Trotzdem stehen in /var/btmp massenhaft solche Einträge:
>
> danny ssh:notty 52.20.58.3 Mon Apr 16 22:35
> - 22:35 (00:00)
> danny ssh:notty 52.20.58.3 Mon Apr 16 22:35
> - 22:35 (00:00)
> admin ssh:notty 118.25.37.99 Mon Apr 16 21:37 -
> 21:37 (00:00)
> admin ssh:notty 118.25.37.99 Mon Apr 16 21:37 -
> 21:37 (00:00)
> butter ssh:notty 139.59.170.253 Mon Apr 16 21:35 -
> 21:35 (00:00)
> butter ssh:notty 139.59.170.253 Mon Apr 16 21:35 -
> 21:35 (00:00)
> test ssh:notty 62.241.131.10 Mon Apr 16 21:19 -
> 21:19 (00:00)
> test ssh:notty 62.241.131.10 Mon Apr 16 21:19 -
> 21:19 (00:00)
> ubuntu ssh:notty 178.33.218.7 Mon Apr 16 21:18 -
> 21:18 (00:00)
> ubuntu ssh:notty 178.33.218.7 Mon Apr 16 21:18 -
> 21:18 (00:00)
> user ssh:notty 5.196.65.134 Mon Apr 16 21:13 -
> 21:13 (00:00)
> user ssh:notty 5.196.65.134 Mon Apr 16 21:13 -
> 21:13 (00:00)
> tomcat ssh:notty 122.224.203.228 Mon Apr 16 21:06 -
> 21:06 (00:00)
> tomcat ssh:notty 122.224.203.228 Mon Apr 16 21:06 -
> 21:06 (00:00)
> jenkins ssh:notty 182.23.45.72 Mon Apr 16 21:02 -
> 21:02 (00:00)
> jenkins ssh:notty 182.23.45.72 Mon Apr 16 21:02 -
> 21:02 (00:00)
> oracle5 ssh:notty 88.87.202.71 Mon Apr 16 20:54 -
> 20:54 (00:00)
> oracle5 ssh:notty 88.87.202.71 Mon Apr 16 20:54 -
> 20:54 (00:00)
> tomcat ssh:notty 200.196.48.89 Mon Apr 16 20:18 -
> 20:18 (00:00)
> tomcat ssh:notty 200.196.48.89 Mon Apr 16 20:18 -
> 20:18 (00:00)
> admin ssh:notty 91.121.119.15 Mon Apr 16 20:16 -
> 20:16 (00:00)
> admin ssh:notty 91.121.119.15 Mon Apr 16 20:16 -
> 20:16 (00:00)
> hadoop ssh:notty 139.162.3.253 Mon Apr 16 20:05 -
> 20:05 (00:00)
> hadoop ssh:notty 139.162.3.253 Mon Apr 16 20:05 -
> 20:05 (00:00)
>
> Heißt das, dass bei mit die Erkennung von Bot-Attacks nicht
> funktioniert?
Hmm, das lässt sich schwer sagen. BFB wertet das normale Logfile aus
(/var/log/messages o.ä.) und nicht den Befehl last.
Zitat:
> Wie schon geschrieben, nach einen Reconnect, wo man ja m.W. eine
> neue IP
> bekommt, war der Spuk vorbei.
>
> >
> > Ich würde einen reconnect der Internetverbindung machen
> > lassen, dafür gibt es ja verschiedene
> > Möglichkeiten.
>
> > Nein, das würde den Rahmen sprengen. Dein Sppedport macht es
> > so, die
> > Fritzbox so der Fli4l so usw usf.
>
> Naja dafür wäre ja die Möglichkeit, dies mittels eines eigenen
> Befehles
> zu tun, z.B. über fritzbox-tools usw.
>
> > Und um es mal zuende zu spinnen, diese Angabe auch
> >> genauso mit melden lassen, wie die BF-Angriffe selber, per Mail,
> Log
> >> und/oder BFB-Webseite.
> > vllt nützt dir ja BFB_RUN_COMMAND was. Das wird ausgeführt
> > wenn eine
> > Attacke erkannt wird.
>
> Sowas meine ich, nur eben erst nach einer gewissen Anzahl von
> Attacken.
vllt. hilft dir ja
BFB_MONITOR_ADDITIONAL_LOG
in Zusammenhang mit
BFB_ADDITIONAL_LOG_SCRIPT
In diesem script könntest du dann den Befehl last auswerten und
entsprechend dem Fritbox-tool sagen was er machen soll.
=====================
#!/bin/bash
DATUM=`/bin/date +%a" "%b" "%d`
ANZAHL=`last | grep "$DATUM" | wc -l`
if [ "$ANZAHL" -ge 10 ]
then
fritzboxtool reconnect
fi
=====================
Mal so als Gedankengang.
Gruß
Olaf
Mehr Informationen über die Mailingliste Eisfair