[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.

Le Tue, 02 Dec 2008 15:16:19 +0100
Daniel Caillibaud <ml@editionsdidier.com> a écrit:

> François Boisson a écrit :
> > Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui
> > utilisent des listes noires à la c.. me considèrant comme un spammeur,
> > j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4
> > d'ailleurs) en ne conservant que celles dont j'avais encore les heures et
> > dates des tentatives.
> 
> Tu as un script partageable pour faire ça (récup des ips, du fai concerné et
> mail abuse@fai avec les lignes de logs) ?

Moi c'est assez primaire:

Script général

#!/bin/sh
ls -tr   /var/log/auth.log*gz | grep "error: PAM: User not know" > /tmp/SSH_douteux
grep "error: PAM: User not know" /var/log/auth.log.0 >> /tmp/SSH_douteux
grep "error: PAM: User not know" /var/log/auth.log >> /tmp/SSH_douteux
sed -e '1,$s/^.*[ |\.]\([^\.]*\.[^\.]*\)$/\1/g' /tmp/SSH_douteux | sort -u | grep "[a-z]" > /tmp/domainesFAI
cat  /tmp/SSH_douteux | awk '{print $1" "$2" "$3" "$21}' > /tmp/SSH_date
cat /tmp/domainesFAI | xargs -n 1 ~/message.sh

où ~/message.sh est le script

#!/bin/sh
MONEMAIL=monemail@moi.chezmoi
echo "Hey" > /tmp/mailFAI
echo "" >> /tmp/mailFAI
echo "Excuse me for this message, it's an automatic one, in bad English." >> /tmp/mailFAI
echo "Computers with IP on your domain try to intruse on my server using" >> /tmp/mailFAI
echo "brut force on server SSH. It's quite sure that these computers are " >> /tmp/mailFAI
echo "themselves compromised perhaps by intrusion by ssh." >> /tmp/mailFAI
echo "" >> /tmp/mailFAI
echo "Following the name of these computers and the date of the attack (UTC+1)." >> /tmp/mailFAI
echo "Is it possible to send a message to the admins of these computers." >> /tmp/mailFAI
echo "" >> /tmp/mailFAI
echo "Thanks a lot" >> /tmp/mailFAI
echo "Regards" >> /tmp/mailFAI
echo "F. Boisson" >> /tmp/mailFAI
echo "Paris" >> /tmp/mailFAI
echo "France" >> /tmp/mailFAI
echo $MONEMAIL >> /tmp/mailFAI
MAIL=""
echo "Computers and date (UTC+1):" >> /tmp/mailFAI
for i in `grep $1 /tmp/pasbeaux.0` ; do
if grep -q $i /tmp/SSH_date ; then
echo "machine $i" >> /tmp/mailFAI
echo >> /tmp/mailFAI
grep $i /tmp/SSH_date >> /tmp/mailFAI
echo >> /tmp/mailFAI
MAIL=X$MAIL
fi
done
if [ -z $MAIL ] ; then
echo Pas de mail a abuse@$1
else
echo Mail a abuse@$1
cat /tmp/mailFAI | mail -s "Attaque SSH from your domain" abuse@$1
fi


Voilà tout y est  Anglais  approximatif compris. J'ai fait ça hier en 1/4 d'heure donc
ça n'est guère sophistiqué mais ça a marché.  Pour les IP sans reverse DNS, on
peut s'en sortir avec un whois mais je n'ai pas automatisé la chose.

François Boisson
Reply to: