El Domingo, 22 de Enero de 2006 13:34, Carlos E. R. escribió:
Claro, claro... pero eso como el chiste del tonto y los dos ladrillos, si aciertan nos j...
* ssh implementa mecanismos muy suficientes. LoginGracetime MaxStartups MaxAuthTries http://lists.suse.com/archive/suse-linux-s/2005-Feb/0224.html
No se si debiera usar DROP en vez de REJECT :-?
* Depende de los gustos, segun el mio indudablemente.
No, una vez que detectan un linux por ahí lo masacran a intentos hasta entrar o darlo por imposible. Los ordenadores son pacientes, el script seguirá dale que te pego.
* En estos casos generar automaticamente una lista negra en un fichero, es bueno, a partir del flag "Invalid" de los logs del cortafuegos, o en el caso que pones de 'SSH attack: ' y aplicar la regla de denegacion de ip's a partir de los distintos ficheros comparados y autoalimentados. --------------- touch historico_ssh sleep 10 grep Invalid /var/log/messages > ips cat ips | awk '{ FS = " " } { print $10 | "uniq" }' | sort | uniq > ext_ip comm -1 historico_ssh ext_ip > nueva_ip cat ips | awk '{ FS = " " } { print $10 | "uniq" }' | sort | uniq > / historico_ssh cat nueva_ip | sed -e '/^\t/d' > bloquear_estas_ips cat bloquear_estas_ips >> black_list.txt cat bloquear_estas_ips | awk '{ system("iptables -A INPUT -i eth0 -p tcp / --dport 22 \ -j DROP -s " $0 )}' ------------------