发博文
公告:【5月博客评选】欢迎提交本月原创作品
Free Gentux

xiaosuo.blog.chinaunix.net

Free & Open   
首页 | 博文目录 | 相册 | 博客圈 | 关于我 | 留言
个人资料
xiaosuo
微博 论坛
发纸条 打招呼 加关注 加好友
  • 博客访问:833774
  • 博文数量:392
  • 博客积分:10093
  • 博客等级:上将
  • 关注人气: 13
  • 注册时间:2005-03-21 00:59:15
订阅我的博客
  • 订阅
  • 订阅到鲜果
  • 订阅到抓虾
  • 订阅到Google
字体大小: 博文
自动封堵暴力破解ssh账号的入侵者 (2011-05-10 23:24)
标签入侵者  暴力  账号  分类: 系统管理


无限发现他的ssh服务器有人企图暴力破解账号,我也自查了一下,发现我也一样受到了此类攻击,ssh中的相关log如下:


  1. May 10 23:20:21 localhost sshd[9075]: Invalid user x from x.x.x.x
明显x.x.x.x在进行账号猜测。随即写了个ruby脚本,监控sshd的此类日志,并对连续输错用户名十次以上的IP用iptables进行封堵。

  1. #!/usr/bin/ruby
  2. #

  4. class Daemon
  5.   def Daemon.start
  6.     exit!(0) if fork
  7.     Process::setsid
  8.     exit!(0) if fork
  9.     Dir::chdir("/")
  10.     File::umask(0)
  11.     STDIN.reopen("/dev/null")
  12.     STDOUT.reopen("/dev/null", "w")
  13.     STDERR.reopen("/dev/null", "w")
  14.     yield if block_given?
  15.   end
  16. end

  18. def block_ip(ip)
  19.   cmd = "iptables -A block_ip -s #{ip} -j DROP"
  20.   system(cmd)
  21. end

  23. def block_invalid(filename)
  24.   block_limit = 10

  26.   log_file = File.new(filename)
  27.   ips = Hash.new
  28.   blocked_ips = Hash.new
  29.   log_file.each do |line|
  30.     field = line.split
  31.     if field[5] == "Invalid"
  32.       ip = field[field.length - 1]
  33.       if ips.key?(ip)
  34.         ips[ip] += 1
  35.       else
  36.         ips[ip] = 1
  37.       end
  38.       if ips[ip] > block_limit and not blocked_ips.key?(ip)
  39.         blocked_ips[ip] = 1
  40.         block_ip(ip)
  41.       end
  42.     end
  43.   end
  44. end

  46. if system("iptables -nvL block_ip &>/dev/null")
  47.   system("iptables -F block_ip")
  48. else
  49.   system("iptables -N block_ip")
  50.   system("iptables -I INPUT -j block_ip")
  51. end

  53. Daemon.start do
  54.   block_invalid("/var/lib/myips.fifo")
  55. end
本质上,这就是一个简单的LIPS--基于日志的入侵防护系统。

博客推荐文章
0
   
热门产品推荐
阅读(1907)评论 (4)收藏(1)举报打印
前一篇:打印出当前系统CPU拓扑结构的脚本
[发评论] 评论 重要提示:警惕虚假中奖信息!
  • xiaosuo 2011-08-30 11:30
    caimeng: Myget这个工具是您开发的?有个问题,就是他缺少一个功能就是返回状态码,文件下载失败、还是成功、还是没有找到文件等,没有特定状态码,返回好像全是0。.....
    嗯,不过这个项目我已经不维护了,有人fork并维护,请向他发feature request吧。https://github.com/lytsing/Mytget
  • caimeng 2011-08-29 11:23
    Myget这个工具是您开发的?有个问题,就是他缺少一个功能就是返回状态码,文件下载失败、还是成功、还是没有找到文件等,没有特定状态码,返回好像全是0。
  • Linuxwhite 2011-05-28 02:31
    转载了。
  • 网络安全服务 2011-05-12 15:40
    防攻击```
亲,您还没有登录,请[登录][注册]后再进行评论