El 2005-01-28 a las 04:26 +0100, chakal escribió:
Claro al ponerlo y enviar me faltaba depurarlo xD y si mejor cercionarse que la cadena que contiene Invalid es referida al servidor sshd por lo tanto podriamos poner:
##############################################################
for i in $(cat /var/log/messages |grep sshd |grep Invalid|awk '{print $10}'| sort -u |sed -e "s/::ffff://g"); do iptables -A INPUT -p tcp --dport 22 -s $i -j DROP done
##############################################################
En la lista "suse-security" acaba de salir el tema, y han dicho esto: |> Date: Thu, 03 Feb 2005 15:10:36 -0600 |> From: Michael Weber |> Subject: Re: [suse-security] SSH attacks. |> |> Swatch is your friend! |> |> It watches log files in real time (within a second or two, anyway) and |> reacts just like you want. |> |> Have it watch the security log file for failed attempts from a single |> IP and run an IPTABLES command when a count is reached within a certain |> time period. No lo he mirado, ni siquiera dicen de donde bajarlo; pero los que tengais maquinas con el ssh abierto os puede interesar mirarlo. La idea básica es la misma, mirar el syslog, pero dinámicamente (tailf, por ejemplo). -- Saludos Carlos Robinson