Задолбали ssh-сканеры!

enyuri · May 19, 2006

Привет!
Если ты читаешь эти строки, значит знаешь, про что я говорю.
Меня совсем задолбали, и я решил положить этому конец. Способов много, но я расскажу самый мне приглянувшийся по блокировке bruteforce роботов. Идея кроется в ограничении установленных коннекций на 22 порт за единицу времени. Для Линукса и iptabes это выглядит так:
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --set
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --update --seconds 60 --hitcount 3 -j REJECT
Эти правила разрешают устанавливать только 3 коннекции в течении минуты. Роботы не выносят ждать долго, и после трех попыток уходят.

Удачи!

Bad_Boy · May 25, 2006

О, это как раз то что мне нужно. Только у меня FreeBSD. Не подскажете как сделать тоже самое в ipfw ?

E-van · May 25, 2006

присоединяюсь к просьбе Bad_Boy - тоже актуально для freebsd

_ada · May 26, 2006

А нафига? Рута ssh все равно не пустит, если он правильно настроен, а подбирать кроме пароля еще и логин -- занятие мягко говоря бесперспективное.

GM. · May 26, 2006

для фрюхи в /etc/ssh/sshd.config

MaxStartups 5:50:10
# после 5 неправильных регистраций, отторгать 50% новых подключений, и
# не отвечать совсем, если число неправильных регистраций превысило 10

prox · Jun 7, 2006

Весьма полезная вешь

tsar · Jun 8, 2006

А может просто зарезать 22 порт на маршрутизаторе со всего, кроме нужного, ну или использовать hosts.allow

shalomp1 · Jun 16, 2006

a 4o eto takoe ssh ???

n025 · Jun 21, 2006

Bad_Boy said:
О, это как раз то что мне нужно. Только у меня FreeBSD. Не подскажете как сделать тоже самое в ipfw ?

есть статья как зарубать боты тока она для pf, он ип откуда долбяца добовляет в блэк лист и враг побеждён) во фре он есть. в ipfw к сожалению так нельзя (если тока руками.

enyuri · Jun 22, 2006

shalomp1 said:
a 4o eto takoe ssh ???

Security SHell
Типа telnet, но использующий шифрованную передачу данных между клиентом и сервером.

ant · Jun 29, 2006

По-моему, проще всего порт закрыть и не мучаться

Silver Ghost · Jul 2, 2006

Нашел на опеннете.

iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 22 -m recent --rcheck --name SSH -j ACCEPT
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1499 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1500 -m recent --name SSH --set -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1501 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -p tcp --dport 22 -j DROP

На 22 коннект закрыт пока не стукнешься на 1500.
telnet myhost 1500
и мой IP заносится в список, теперь можно на 22 коннектить...

Нашел на опеннете.

iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 22 -m recent --rcheck --name SSH -j ACCEPT
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1499 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1500 -m recent --name SSH --set -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1501 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -p tcp --dport 22 -j DROP

telnet myhost 1501
или
telnet myhost 1499
и мой IP выносится из спискф, теперь 22 порт опять закрыт...

Vah · Jul 10, 2006

Давно уже читаю тему.....
проще всего в конфиг ссхд настроить.......... ничего страшного в брутфорсе не вижу при нормальньй настройке ссхд и пароле не в 2-3 символа а минимум в 8....

Непонимаю такого параноидального везде и всюду юзать файрвол и зарубать все что можно......
Давайте тогда отключим все сервера от сети чтоб их недайбоже не просканировали......

ЗЫ: mail.ru регулярно сканируют мои сервера на наличие анонимных проксей и open relay'ев...... и что мне теперь банить их зверски??

tsar · Jul 10, 2006

Vah said:
ЗЫ: mail.ru регулярно сканируют мои сервера на наличие анонимных проксей и open relay'ев...... и что мне теперь банить их зверски??

В баню этих негодяев

)

ilya_kz · Sep 18, 2006

Спасибо.

Silver Ghost said:
Нашел на опеннете.

iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 22 -m recent --rcheck --name SSH -j ACCEPT
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1499 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1500 -m recent --name SSH --set -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1501 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -p tcp --dport 22 -j DROP

На 22 коннект закрыт пока не стукнешься на 1500.
telnet myhost 1500
и мой IP заносится в список, теперь можно на 22 коннектить...

Нашел на опеннете.

iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 22 -m recent --rcheck --name SSH -j ACCEPT
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1499 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1500 -m recent --name SSH --set -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1501 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -p tcp --dport 22 -j DROP

telnet myhost 1501
или
telnet myhost 1499
и мой IP выносится из спискф, теперь 22 порт опять закрыт...

Спасибо все работает.

Задолбали ssh-сканеры!

enyuri

Member

Bad_Boy

Member

E-van

Member

_ada

New member

GM.

Member

prox

New member

tsar

Member

shalomp1

New member

n025

New member

enyuri

Member

ant

Member

Silver Ghost

New member

Vah

Member

tsar

Member

ilya_kz

New member