[linux] Re: anti-inbraak script
Paul Slootman
paul+nospam op wurtel.net
Wo Jun 6 14:36:24 CEST 2007
On Wed 06 Jun 2007, Rob Sterenborg wrote:
>
> iptables -A INPUT -m recent --update --seconds 60 -j DROP
> iptables -A INPUT -i eth0 -d <jouw_ip> -p tcp --dport 22 \
> -m recent --set -j DROP
> iptables -A INPUT -i eth0 -d <jouw_ip> -p tcp --dport 25 \
> -m recent --set -j DROP
> [...]
>
> Ik heb 't niet (nooit) getest, dus ik weet ook niet of 't werkt.
Ik heb dit op een paar webservers:
iptables -A INPUT -p tcp --dport 80 -j www
...
iptables -A www -m recent --update --name www --seconds 900 -j DROP
iptables -A www -j ACCEPT
Vervolgens een 404 ErrorDocument scriptje dat kijkt of ie als een van de
gebruikelijke "lekke" applicaties aangeroepen wordt, zoals xmlrpc.php of
w00tw00t.at.ISC.SANS.DFind enzo, en zo ja, de client IP toevoegt aan
/proc/net/ipt_recent/www
(gewoon met echo 12.34.56.78 > /proc/net/ipt_recent/www)
Vanaf dat moment is dat IP voor 900s geblokkeerd, en elke keer dat ie
het probeert wordt de teller gereset (door de --update).
Dat scriptje kan in die /proc file schrijven als user www-data omdat ik
chmod 666 doe van die file... (werkt gewoon).
Paul Slootman
More information about the Linux
mailing list