Re: sshd

[Georges Roux <georges.roux@pacageek.org>]

IBM C'est gratuit? j'ai bien netfilter, mais j'ai aussi hosts.deny hehe
et les scripts kiddies non pas le monopole du script pas cher
Alors j'ai fait un script qui ecrit les ip des accés Failed de auth.log 
dans /etc/hosts.deny

#!/bin/bash
#banip.sh

BANNEDIP="ALL: "
COUNT=`sudo grep Failed /var/log/auth.log | cut -d ' ' -f 13 | grep :: | cut -d ':' -f 4 | sort -u | wc -l`
if [ "$COUNT" -gt 0 ]
 then
 for IP in `sudo grep Failed /var/log/auth.log | cut -d ' ' -f 13 | grep :: | cut -d ':' -f 4 | sort -u`
   do
     BANNEDIP="$BANNEDIP $IP,";
   done
else BANNEDIP=""
fi
echo $BANNEDIP >> /etc/hosts.deny


et je met ca dans ma crontab bon il doit y avoir encore plein de truc a 
corriger
le script prend l'ip avec un seul acces rejeté pour le moment
et je pense qu'avec awk on pourrais faire mieux
Je suis preneur de toute remarque ou idée constructive


Georges
PS: Surveillez vos auth.log

pascal wrote:

> Bonjour!
> C'est étrange c'est le même genre d'attaque que celle décrite dans un 
> mail précédent qui provenait de ...côte d'ivoire!
> L'attaque contre ssh2 en cette fin d'année serait elle devenue 
> brusquement à la mode  chez les scripts kiddies ?
> Pour répondre à ta question il y a un tutoriel pas mal (si tu as 
> netfilter) qui est une bonne (je trouve) introduction à la notion de 
> "pare-feu réactif" (concept dangereux) :
> http://www-128.ibm.com/developerworks/edu/l-dw-linuxfw-i.html
> C'est gratuit mais il faut juste s'inscrire chez ibm.
> Voilà.
> Pascal...Qui va aller regarder ses fichiers auth...