[Eisfair] BruteForceBlocking: banner exchange Fehler

[Olaf Jaehrling]

Hallo Marcus,

Marcus Röckrath schrieb am 25.04.22 um 17:52:
> Hallo Olaf,
> 
> Olaf Jaehrling wrote:
> 
>>>>> Vermute es hängt mit solchen Zeilen zusammen:
>>>>>
>>>>> Apr 13 00:35:54 nepo-vw-server sshd[14736]: error:
>>>>> kex_exchange_identification: client sent invalid protocol identifier
>>>>> "GET / HTTP/1.1"<br>
>>
>> Dieses Problem habe ich schon gefixt.
> 
> Ok, ignorierst du dise Zeilen einfach, da sowieso keine IP enthalten ist?

Nein, ich filtere nach der PID und greppe z.B. HTTP raus.
Hier die entscheidenene Zeilen:
tail -n150 $authlog |grep $grepheute |grep -E "Failed 
keyboard-interactive|illegal user|Failed publickey|ad password 
attempt|Authentication failure|ailed password|nonexistent 
user|kex_exchange_identification" | awk {'print $5'}| sed 
s'/^.*[a-z]//;s/\[//;s/\]://'g | while read PID
do
      _slow_check $PID
done

_slow_chech ()
IP=`grep -a sshd.$PID $authlog |grep $grepheute | awk -F"sshd" '{print 
$2}'|grep -Ev "HTTP|disconnect" |grep -Eo 
'([0-9\.]+\.+)+[0-9]+|([a-f0-9:]+:+)+[a-f0-9]+' | uniq`

Dadurch filtere ich die IPv[4|6] heraus und schaue dann ein paar Zeilen 
weiter unten, ob diese IP es schon öfter und wenn ja wie oft versucht hat.
Somit kann BFB dann entscheiden ob ein threshold überschritten ist, also 
ob blockiert werden soll, oder nicht.

Wenn dann noch BFB_BLOCK_PROACTIVE_FROM_DATABASE aktiviert ist, wird 
diese IP in die Datenbanbk geschrieben und für 
$BFB_DAY_TO_CLEAR_PROACTIVE_DATABASE Tage gesperrt


Gruß

Olaf

> 

-- 
Paketserver: https://ojaehrling.de/eis/index.txt