[gilug.org] Vetat de IP per atacs

[Leopold Palomo-Avellaneda leo alaxarxa net]

A Dimarts 19 Febrer 2008, Narcis Garcia - GiLUG va escriure:
> Ostres tu, només de posar un ordinador amb web i FTP a internet, que en
> pocs dies ja és objecte de l'atac de desenes d'individus que es volen
> colar al sistema.
> Miro les bitàcoles d'autenticació, i veig centenars d'intents d'entrar
> com a "root", "administrator", "maria", "backup", "games", etc. que se
> succeeixen cada 3 o 4 segons.
>
> Una cosa que he començat a fer és afegir les adreces IP dels atacants al
> fitxer /etc/hosts.deny i, tot i que em pensava que aquesta era una
> llista per a denegar qualsevol accés a l'ordinador, resulta que només em
> dóna resultat per a qui intenta entrar via SSH.
>
> Algú sap com impedir que des d'una adreça IP s'accedeixi a CAP port ni
> servei de l'ordinador?

Jo tenia el mateix problema. Hi ha un script meravellós que té per nom 
fail2ban. La descripció diu:


Description: bans IPs that cause multiple authentication errors
 Monitors log files (e.g. /var/log/auth.log,
 /var/log/apache/access.log) and temporarily or persistently bans
 failure-prone addresses by updating existing firewall rules. The
 software was completely rewritten at version 0.7.0 and now allows
 easy specification of different actions to be taken such as to ban an
 IP using iptables or hostsdeny rules, or simply to send a
 notification email. Currently, by default, supports ssh/apache/vsftpd
 but configuration can be easily extended for monitoring any other ASCII
 file. All filters and actions are given in the config files, thus
 fail2ban can be adopted to be used with a variety of files and
 firewalls.


A mí m'ha ajudat molt.

Leo