Carlos E. R. wrote:
El 2005-01-28 a las 04:26 +0100, chakal escribió:
Claro al ponerlo y enviar me faltaba depurarlo xD y si mejor cercionarse que la cadena que contiene Invalid es referida al servidor sshd por lo tanto podriamos poner:
##############################################################
for i in $(cat /var/log/messages |grep sshd |grep Invalid|awk '{print $10}'| sort -u |sed -e "s/::ffff://g"); do iptables -A INPUT -p tcp --dport 22 -s $i -j DROP done
##############################################################
En la lista "suse-security" acaba de salir el tema, y han dicho esto:
|> Date: Thu, 03 Feb 2005 15:10:36 -0600 |> From: Michael Weber |> Subject: Re: [suse-security] SSH attacks. |> |> Swatch is your friend! |> |> It watches log files in real time (within a second or two, anyway) and |> reacts just like you want. |> |> Have it watch the security log file for failed attempts from a single |> IP and run an IPTABLES command when a count is reached within a certain |> time period.
No lo he mirado, ni siquiera dicen de donde bajarlo; pero los que tengais maquinas con el ssh abierto os puede interesar mirarlo. La idea básica es la misma, mirar el syslog, pero dinámicamente (tailf, por ejemplo).
En sourceforge aparece http://sourceforge.net/projects/swatch/ voy a instalarlo ahora mismo a ver que tal