Descrizione
Grazie a questo piccolo script in shell, possiamo bloccare eventuali attacchi ssh provenienti da internet verso la nostra linuxbox.
Questo script controlla i logs sul file "/var/log/auth.log" ogni 60 secondi, se un utente prova quindi ad effettuare un login sulla macchina servendosi di una username inesistente, sicuramente si tratta di un brute-force attack, per cui lo script rilevando il tentativo login fallito aggiungerà l'ip address dell'host remoto all'interno de file "/etc/hosts.deny" gestito dal tcp wrapper che provvederà a bloccare qualsiasi comunicazione da e verso quell'host.

Progettato per:
Fedora/RedHat/CentOS

Testato su:
Fedora

INIZIO SCRIPT -->
#_______________________________________________________#
#!/bin/sh
#Script by LinuxGuide.it
#*AGREEMENT, INCLUDING, IN PARTICULAR THE LIMITATIONS ON:
#WARRANTY,IF THISY AND LIABILITY. YOU AGREE THAT THIS AGREEMENT IS ENFORCEABLE LIKE ANY WRITTEN NEGOTIATED AGREEMENT SIGNED BY YOU. IF YOU DO NOT AGREE, DO NOT USE THIS SCRIPT
#*WARRANTY
# NO WARRANTY IS OFFERED WITH THIS SOFTWARE.
#*LIMITATION OF LIABILITY.
#IN NO EVENT WILL THE DEVELOPERS OF THIS SOFTWARE BE LIABLE TO YOU FOR ANY DAMAGES, CLAIMS OR COSTS WHATSOEVER OR ANY CONSEQUENTIAL, INDIRECT, INCIDENTAL DAMAGES, OR ANY LOST PROFITS OR LOST SAVINGS.
while :
do
sleep 60
varcat=`cat /var/log/auth.log |grep Illegal | awk '{print $10}' |head -1 | awk '{split($0,Array,":"); print Array[4]}'`
vardate=`date`
if [ -z $varcat ]
then
# "nothing to do..."
echo "" > /var/spool/mail/root
echo "" > /var/mail/root
else
# "Block host"
echo "sshd: $varcat" >> /etc/hosts.deny
sleep 2
cat /var/log/auth.log |grep Illegal > /var/log/auth.temp
sleep 2
# echo send report via email - don't miss to change "your_account@example.com"
mail your_account@example.com -s "SSH Illegal user $vardate" < /var/log/auth.temp
sleep 1
cat /var/log/auth.temp >> /var/log/auth-backup.log
sleep 1
echo "" > /var/log/auth.log
sleep 1
rm /var/log/auth.temp
fi
done
#_______________________________________________________#
FINE SCRIPT <--

Autorun
Per avviare lo script al boot della macchina:
1)Copia & Incolla lo script in file chiamato ssh-attack.sh dentro "/usr/local/bin"
2)# chmod 500 /usr/local/bin/ssh-attack.sh
3)infine aggiungi la sottostante riga al file "/etc/rc.local:
# sh /usr/local/bin/ssh-attack.sh



Segnala questo documento su:

Perchè la mia connessione internet è lenta?

Avvolte basta un servizio non avviato per causare problemi di questo tipo.

Qual'è il problema?
Quando il servizio NetworkManager non è avviato può causare problemi di rallentamento sulla navigazione internet a causa di eventuali vecchie entry nameserver o dns privati(lan) che al momento non sono più disponibili sulla nostra rete perchè non ci troviamo più per esempio in ufficio o a casa e che dunque rallentano il processo di risoluzione e di conseguenza aumenta il tempo di attesa per il caricamento di una pagina web o della posta elettronica o di qualsiasi altra cosa da risolvere.

Su Fedora Core 6 abbiamo notato che nonostante ciò il servizio NetworkManager fosse attivo le vecchie entry nameserver non venivano rimosse dal file "/etc/resolv.conf".

Soluzione
Attivare il servizio "NetworkManager" al boot:
# chkconfig NetworkManager on

TIPS
Se non vuoi usare il servizio NetworkManager prova ad aggiungere la sottostante riga al file "/etc/init.d/network" sotto "start" per rimuovere al boot della macchina le vecchie entry dal file resolv.conf:
... codice omesso
start)
/bin/echo > /etc/resolv.conf
... codice omesso



Segnala questo documento su:

Linux Commands Line v1.2 è stata rilasciata!
la più completa lista dei comandi linux mai vista, oltre 350 comandi!

Official page

Last News:
Disponibile ora in spagnolo e ceco.


Lascia il tuo commento!




Segnala questo documento su: