BigAp.ru — интернет-магазин электроники и бытовой техники

Автор Тема: fail2ban баним одни и те же атакующие IP на вечно  (Прочитано 1372 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8251
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Ситуация такая, сервера "долбят", повторяющиеся с некоторой периодичностью одни и те же IP, есть задумка сделать так что бы к примеру, если за три дня или один день, без разницы, "долбит" один и тот же IP банить его к примеру на пару лет, как минимум, никто не реализовывал данную задачу?

З.Ы. руками уже устал добавлять

[update]

Решается это путем просмотра логов самого fail2banСкрытая информация. Зарегистрируйтесь, чтобы увидеть её.
Если за 1 неделю набирается 2 бана - баним на 2 дня, если за месяц набирается 3 бана - баним на неделю.. ну и т.д

[update]
метод оказался не совсем работоспособным, правила отрабатывали всеравно через сутки, перерабатываю

Помог - http://whyscream.net/wiki/index.php/Fail2ban_monitoring_Fail2ban

UPD
Так же - http://blog.shanock.com/fail2ban-increased-ban-times-for-repeat-offenders/

Если у кого есть идеи, прошу постить )

UPD
В новых версиях появился recidive который работает на базе fail2ban логов... достаточно включить его и повторяющиеся IP будут забанены в зависимости от условий (bantime, maxretry и т.п.)
« Последнее редактирование: Июнь 06, 2016, 08:07:02 pm от sysadmin »
дорогу осилит идущий...
......................
MCP, MCTS, RHCSA
......................
also aka xck...

 

Оффлайн NiX

  • IS Group
  • сисадми́н
  • *
  • Сообщений: 621
  • Karma: +39/-0
  • Пол: Мужской
    • Share Post
Re: fail2ban баним одни и те же атакующие IP на вечно
« Ответ #1 : Октябрь 06, 2014, 11:40:15 am »
Я по подобному алгоритму скрипт на bash+expect писал))
Только на тот момент была CISCO ASA 5510 без модуля IPS
По функционалу было так:
с циски сливались логи на линукс-сервер по syslog, далее скрипт выявлял на наличие повторяющихся атакующих IP-адресов, в дальнейшем через expect скрипт по ssh лез на циску и в ACL прописывал эти злостные IP, ну а потом проверял, если с этого IP-адреса прекращались атаки, то удалял его из ACL :smile3:
Лесопед конечно получился, но отрабатывал как положено :sarcastic:

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8251
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: fail2ban баним одни и те же атакующие IP на вечно
« Ответ #2 : Октябрь 06, 2014, 12:05:35 pm »
Главное, что бы задачи выполнялись ) Я сделал, так что если за период 4 недели обнаружится 4 бана, прощай IP на полгода :sarcastic:
« Последнее редактирование: Октябрь 06, 2014, 12:08:24 pm от sysadmin »

Оффлайн NiX

  • IS Group
  • сисадми́н
  • *
  • Сообщений: 621
  • Karma: +39/-0
  • Пол: Мужской
    • Share Post
Re: fail2ban баним одни и те же атакующие IP на вечно
« Ответ #3 : Октябрь 06, 2014, 12:27:42 pm »
Ага) IPS разработанная на коленке получилась))
Но тут тоже "палка о двух концах", всегда есть вероятность потерять полезный трафик, ведь много кто за NATом сидит.
Особенно когда дело касается интернет-банкинга :sarcastic:

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8251
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: fail2ban баним одни и те же атакующие IP на вечно
« Ответ #4 : Октябрь 06, 2014, 12:30:22 pm »
Я видел скрипт в котором народ по странам рубит, берется диапазон страны и дОсвиданья Непал бггГ

Оффлайн NiX

  • IS Group
  • сисадми́н
  • *
  • Сообщений: 621
  • Karma: +39/-0
  • Пол: Мужской
    • Share Post
Re: fail2ban баним одни и те же атакующие IP на вечно
« Ответ #5 : Октябрь 06, 2014, 12:44:49 pm »
Я тоже видел, но опять же, если это будет интернет-банкинг, то это недопустимо, да и диапазоны IP бывает что качают из одной страны в другую

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8251
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: fail2ban баним одни и те же атакующие IP на вечно
« Ответ #6 : Октябрь 06, 2014, 12:48:11 pm »
Конечно же все зависит от поставленных задач и целей.


moved
Перенесено: fail2ban баним одни и те же атакующие IP на вечно

Автор sysadmin

0 Ответов
1 Просмотров
Последний ответ Декабрь 04, 2016, 02:40:31 pm
от sysadmin
xx
Fail2ban (WEB) - баним за попытки брутфорса директорий

Автор sysadmin

0 Ответов
417 Просмотров
Последний ответ Июнь 06, 2016, 08:24:07 pm
от sysadmin
moved
Перенесено: Fail2ban (WEB) - баним за попытки брутфорса директорий

Автор sysadmin

0 Ответов
1 Просмотров
Последний ответ Декабрь 04, 2016, 02:40:18 pm
от sysadmin
xx
[Решено] Linux iptables - баним интернет диапазон IP адресов

Автор sysadmin

0 Ответов
583 Просмотров
Последний ответ Апрель 09, 2015, 03:40:40 pm
от sysadmin