Estas aquiContenido / sshdfilter
sshdfilter
sshdfilter bloquea los frecuentes ataques de fuerza bruta contra servidores SSH.
En lugar de arrancar sshd normalmente, se arranca sshdfilter desde los scripts de inicio y él se encargará de arrancar sshd, pero ahora será capaz de examinar los registros de sshd y generar automáticamente reglas IP específicas sobre la marcha, con objeto de detener el ataque antes de que pueda obtenerse una contraseña válida...
Etiquetas
Yo tengo un script que simplemente añade iptables, se ejecuta desde el crond cada 10 minutos y revisa el log por si hay ataques, de todos modos me han dicho que snort también puede hacer el mismo trabajo.
El mío se llama banfromlog, además también existen fail2ban y blockhost, que además uno de ellos mira también el log de apache y protftpd.
Por experiencia, se que no pueden averiguar una contraseña decente, sin embargo, te restan mucho ancho de banda y/o CPU, desde que he puesto mi script no suelo tener problemas de ataques, además me he hecho una lista de atacantes bastante completa (que se actualiza cada 10 minutos) y gracias a la cual, ultimamente apenas recibo ataques (1 o dos a la semana frente a 3 o 4 al día que recibía antes).
Por cierto, para leer los logs es muy util logcheck (viene en el repositorio por defecto de debian).
Por último decir que el ataque si tiene exito usará vuestros ordenadores como zoombies para buscar más ordenadores.
La mayoría de estos intentos provienen de scripts que prueban listas de usuarios/contraseñas. Aunque la propuesta de sshdfilter me parece interesante más efectivo es no utilizar un puerto estándar para el ssh y sólo hay que cambiar el valor en sshd.conf.
En más de un año con otro puerto aún estoy por recibir una sola visita de estos bots.
Por supuesto que el precio que pagas es tener que poner el número de puerto en cada invocación ssh, scp o sftp :-(
Por otra parte creo que no tengo que convencer aquí a nadie sobre la conveniencia de no utilizar la autentificación por contraseña.
Por si os interesa, una persona hizo este script en python, este es el que usaba yo.
http://linuca.org/pipermail/linuxcantabria/2005-May/005717.html
el link de descarga esta mal, es el siguiente: http://caosdigital.com/ssh_kill.py
Por cierto, si alguien conoce algo para usar en sistemas *BSD ( Preferiblemente OpenBSD ) que lo diga, porque ninguno de los mencionados me funciona :(
Saludos a todos y buenos dias.
Te vale el mío, sólo tienes que cambiar donde ejecuta el iptables por el firewall del openbsd (que ahora no me acuerdo cual era la orden).
http://serhost.com/banfromlog
Si tuviese tiempo lo cambiaba y adaptaba (era algo que tenía en mente), si lo haces tu (es solo cambiar una linea) te ruego me lo reenvies para publicarlo.
Recuerda que en openBSD deberías tener instalado bash y bajarte un binario del sqlite para *bsd.
El firewall por defecto de OpenBSD es el pfctl, lo que pasa es que no se muy bien como funciona, pues se que tiene un fichero llamado /etc/pf.conf en el cual se meten todas las reglas y cuando ejecutas pfctl -e se supone que carga todas las reglas de ese fichero... lo que no se es si al igual que iptables, se le podran pasar parametros ... no tengo mucha idea, aun ando estudiandome la FAQ del PF de OpenBSD.org ;) de todas formas, muchas gracias, mirare tu script y si puedo cambiarlo para adaptarlo al sistema te lo dire, gracias de nuevo, hasta pronto.