web-dev-qa-db-ja.com

総当たり攻撃を受​​けています。どうすればよいですか

メールサーバー、IMAP、POP3にブルートフォース攻撃を受けています。 ASLの完全なパッケージをインストールしていますが、OSSECログが送信されるだけです。 IPを禁止するにはどうすればよいですか。

何度か間違った試みをした後、ASLはこれらの攻撃を自動的にブロックすると思いました。どうやってやるの。

2
Saif Bechan

カーネルが最近のiptablesをサポートしている場合(ほとんどはサポートしています)、次のようなものは60秒で6つの接続を許可し、そのIPアドレスからの接続をドロップします。さまざまなIPをブロックするための大量のルールを作成するのではなく、それを行うことができます。

iptables -I INPUT -p tcp --dport imap -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport imap -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 6 -j DROP
iptables -I INPUT -p tcp --dport pop3 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport pop3 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 6 -j DROP

または、IPが1つだけの場合:

iptables -I INPUT -s 1.2.3.4/32 -j DROP

そのIPの迅速で汚いドロップを行う必要があります

4
deleted

fail2banがそのトリックを行います。

http://www.howtoforge.com/fail2ban_debian_etch

楽しんで。

5

OSSECを機能させるには、OSSECでアクティブな応答を有効にする必要があります。 ossec.confをチェックして、そこで有効になっているかどうかを確認します。

Iptablesソリューションの問題は、アプリケーションの知識がないため、正常なログインがブロックされる可能性があることです。

2
sucuri