Comments on: Скажи “Нет!” взломщику http://blog.sjinks.org.ua/security/194-say-no-to-intruder/ Verba volant, scripta manent Sat, 22 Nov 2008 08:09:47 +0000 http://wordpress.org/?v=2.7-beta3 hourly 1 By: Vladimir http://blog.sjinks.org.ua/security/194-say-no-to-intruder/comment-page-1/#comment-528 Vladimir Tue, 02 Sep 2008 18:54:24 +0000 http://blog.sjinks.org.ua/?p=194#comment-528 Это да, главное самому номер порта помнить :-) А вообще — аутентификация по ключу, а за попытку логина по паролю в бан. Это да, главное самому номер порта помнить :-)

А вообще — аутентификация по ключу, а за попытку логина по паролю в бан.

]]> By: Аким http://blog.sjinks.org.ua/security/194-say-no-to-intruder/comment-page-1/#comment-527 Аким Tue, 02 Sep 2008 18:47:29 +0000 http://blog.sjinks.org.ua/?p=194#comment-527 как вариант против кул-хацкеров из рецептов от одного знакомого админа: запускаем sshd на каком-то другом порту 1234, а за коннект в 22му сразу в blacklist. очень помагает :) как вариант против кул-хацкеров из рецептов от одного знакомого админа: запускаем sshd на каком-то другом порту 1234, а за коннект в 22му сразу в blacklist. очень помагает :)

]]> By: Почему я не люблю Microsoft | Ars Longa, Vita Brevis http://blog.sjinks.org.ua/security/194-say-no-to-intruder/comment-page-1/#comment-516 Почему я не люблю Microsoft | Ars Longa, Vita Brevis Wed, 27 Aug 2008 14:57:11 +0000 http://blog.sjinks.org.ua/?p=194#comment-516 [...] Пример подобного скрипта я уже приводил в статье "Скажи “Нет!” взломщику". Вся почта хранилась на рабочих станциях сотрудников, [...] [...] Пример подобного скрипта я уже приводил в статье “Скажи “Нет!” взломщику”. Вся почта хранилась на рабочих станциях сотрудников, [...]

]]> By: Vladimir http://blog.sjinks.org.ua/security/194-say-no-to-intruder/comment-page-1/#comment-266 Vladimir Fri, 13 Jun 2008 23:29:44 +0000 http://blog.sjinks.org.ua/?p=194#comment-266 <strong>Бонус:</strong> парочка скриптов для анализа логов. <ol> <li><strong>Кто лез к нам по SSH</strong>: <pre lang="bash"> #! /bin/sh if [ x$1 = x ]; then FILE=/var/log/auth.log else FILE=$1 fi cat $FILE | grep " sshd\[" > /tmp/sshd.log # Левые пользователи cat /tmp/sshd.log | grep "Invalid user " | awk '{ print $10 }' | sort | uniq > /tmp/sshd_user # Неверные пароли для существующих пользователей cat /tmp/sshd.log | grep -E "Failed password for [a-zA-Z0-9_-]+ from " | awk '{ print $11 }' | sort | uniq > /tmp/sshd_pass # Кто нас проверял на наличие SSH cat /tmp/sshd.log | grep "Did not receive" | awk '{ print $12 }' | sort | uniq > /tmp/sshd_noident [ -s /tmp/sshd_user ] && echo "Intruders" && cat /tmp/sshd_user [ -s /tmp/sshd_pass ] && echo "Wrong password" && cat /tmp/sshd_pass [ -s /tmp/sshd_noident ] && echo "No identification string" && cat /tmp/sshd_noident rm -f /tmp/sshd.log /tmp/sshd_user /tmp/sshd_pass /tmp/sshd_name /tmp/sshd_noident exit 0 </pre> </li> <li><strong>Кто лез к нам по FTP (для <code>vsftpd</code>)</strong>: <pre lang="bash"> #! /bin/sh if [ x$1 = x ]; then FILE=/var/log/vsftpd.log else FILE=$1 fi # cat $FILE | grep "FAIL LOGIN: Client" | awk '{ print $12 }' | sed s/\"//g | sort | uniq cat $FILE | grep -E -o 'FAIL LOGIN: Client "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+"' | awk '{ print $4 }' | sed 's/"//g' | sort | uniq exit 0 </pre> </li> <li><strong>Здесь вам не релеи (для <code>Courier</code>)</strong>: <pre lang="bash"> #! /bin/sh if [ x$1 = x ]; then FILE=/var/log/mail.err else FILE=$1 fi cat $FILE | grep relay | awk '{ print $6 }' | sed s/error,relay=::ffff:// | sed s/,.*// | sort | uniq exit 0 </pre> </li> <li><strong>Здесь вам не релеи (для <code>Postfix</code>)</strong>: <pre lang="bash"> #! /bin/sh if [ x$1 = x ]; then FILE=/var/log/mail.log else FILE=$1 fi cat $FILE | grep -o -E '\[[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+\]:' | grep -o -E '[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' | sort | uniq exit 0 </pre> </li> </ol> Надеюсь, кому-нибудь пригодится. <a href='http://static2.sjinks.org.ua:8080/wp-content/uploads/2008/06/scriptstar.bz2' rel="nofollow">scripts.tar.bz2</a> Бонус: парочка скриптов для анализа логов.

  1. Кто лез к нам по SSH:
    #! /bin/sh

    if [ x$1 = x ]; then
        FILE=/var/log/auth.log
    else
        FILE=$1
    fi

    cat $FILE | grep " sshd\[" > /tmp/sshd.log
    # Левые пользователи
    cat /tmp/sshd.log | grep "Invalid user " | awk '{ print $10 }' | sort | uniq > /tmp/sshd_user
    # Неверные пароли для существующих пользователей
    cat /tmp/sshd.log | grep -E "Failed password for [a-zA-Z0-9_-]+ from " | awk '{ print $11 }' | sort | uniq > /tmp/sshd_pass
    # Кто нас проверял на наличие SSH
    cat /tmp/sshd.log | grep "Did not receive" | awk '{ print $12 }' | sort | uniq > /tmp/sshd_noident
    [ -s /tmp/sshd_user ] && echo "Intruders" && cat /tmp/sshd_user
    [ -s /tmp/sshd_pass ] && echo "Wrong password" && cat /tmp/sshd_pass
    [ -s /tmp/sshd_noident ] && echo "No identification string" && cat /tmp/sshd_noident
    rm -f /tmp/sshd.log /tmp/sshd_user /tmp/sshd_pass /tmp/sshd_name /tmp/sshd_noident
    exit 0
  2. Кто лез к нам по FTP (для vsftpd):
    #! /bin/sh

    if [ x$1 = x ]; then
        FILE=/var/log/vsftpd.log
    else
        FILE=$1
    fi

    # cat $FILE | grep "FAIL LOGIN: Client" | awk '{ print $12 }' | sed s/\"//g | sort | uniq
    cat $FILE | grep -E -o 'FAIL LOGIN: Client "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+"' | awk '{ print $4 }' | sed 's/"//g' | sort | uniq
    exit 0
  3. Здесь вам не релеи (для Courier):
    #! /bin/sh

    if [ x$1 = x ]; then
        FILE=/var/log/mail.err
    else
        FILE=$1
    fi

    cat $FILE | grep relay | awk '{ print $6 }' | sed s/error,relay=::ffff:// | sed s/,.*// | sort | uniq
    exit 0
  4. Здесь вам не релеи (для Postfix):
    #! /bin/sh

    if [ x$1 = x ]; then
        FILE=/var/log/mail.log
    else
        FILE=$1
    fi

    cat $FILE | grep -o -E '\[[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+\]:' | grep -o -E '[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' | sort | uniq
    exit 0

Надеюсь, кому-нибудь пригодится.

scripts.tar.bz2

]]>