Reprise du message précédent :
il est vrai que la façon de parler de tron20 me rappel quelqu'un...

je ne sais plus si le -D (delete) fonctionne avec -I INPUT
je crois en fait que pour faire un -D il faut avoir un -A (add)

Je dirais, pouvoir être facilement manipulable via une interface comme celle de black_lord non ?

black : 1er post MAJ pour l'explication + tarball

moi j'ai fait u nscript pour bloquer les tentatives de flood sur le port 80... sur un serveur Apache...
 
Si ca interesse qq personnes... je comptes le distribuer prochainement...

Je serais curieux de voir ton script zegreg

 
En fait, j'utilises mod_throttle comme point de départ.
Il renvoie des erreurs 503 si il detecte une tentavie de FLOOD.
 
J'ai modifie la page 503... si une IP ce prend une 503 il est loggué, si il s'en prend trop, il est banni sur serveur pour 10min par IPTABLES.
 
Voila, je crois que je vais creer une page complete sur le truc, car l'installation necesitte pas mal de modifs un peu partout... mais bon ca marche...
 
Voila voila, en fait, j'aimerais avoir votre avis sur l'utilisation de SUDO, car pour dire a Apache de creer une regle IPTABLES, je suis obligé de donenr les droits IPTABLES a apache. C'est risqué ?
 
Apres je veux bien faire tourner le script.

Oui sans hésiter, utilise sudo. Ton script a l'air très sympa et j'ai bien envie de le tester sur un serveur de prod.

 
envoyé en PV...
 
Je sais pas si il y a des failles...
 
Te faut installer mod_throttle pour Apache
Te faudra mettre une tache CRON sur le fichier purge.php
Te faut inserer robot.php dans ta page 503
Mettre les droits d'ecriture sur /logs
 
euuuuuu je crois que c'est tout apres faut adapter a ton serveur, ette version n'est pas faite pour etre distribuer a l'origine mais je compte la developper pour cela..
 

http://www.nuclearelephant.com/projects/dosevasive/

black_lord : t'as vu mon blabla ?

voui, je vais attendre que tu passes la WL dans la BDD pour modifier l'interface

ah ok
 
par contre va falloir qu'on réfléchisse pour comment gérer le unban depuis l'interface car là ça modifie juste la base

pas possible sans utiliser une solution de goret a priori

oue donc soit on modifie la table actuelle et on modifie le script pour qu'il unabn/suppr/toussa à chaque fois qu'il tourne, ou alors rajouter une table, ou même créer un 2ème script
 
à définir

 
je connais, j'ai testé avant ...
 
et le truc interessant, de ce mod s'etait de pouvoir lancé une commande system, or moi ca marchait pas...

Ya un thread sur la mailing list de netfilter qui ressemble. Il commence là  
https://lists.netfilter.org/piperma [...] 60299.html
C'est un pote à toi tomate
https://lists.netfilter.org/piperma [...] 60304.html

nope

Il y a plus simple : changer le port ssh, ou utiliser le module recent de Netfilter, comme dans le lien cité par l0ky :
 
 
 
http://blog.andrew.net.au/2005/02/ [...] sh_attacks
 

en fait un -j DROP fera l'affaire

 
 
On peut changé le port en 80 pour limiter les requetes sur un serveur WEB par exemple ?

Y'aurait il une méthode permettant de faire du brute force, pour vérifier que ca fonnctionne
 
 
Ce truc m'interresse très fortement !

Warning: mysql_connect(): Client does not support authentication protocol requested by server; consider upgrading MySQL client in /var/www/ban_ip/cnxdb.php on line 8
 
arff  
ma base mysql 4.1 necessite php5 que je narrive pas a trouver en packet  pour ma debian...
Si quelqun a reussi

utilises mysql 4.0.x

dotdeb.org

La base est helas en prod

# PHP5 for sid
deb http://people.debian.org/~dexter php5 sid
deb-src http://people.debian.org/~dexter php5 sid
 
# PHP5 for woody
deb http://www.backports.org/debian stable ucf
deb http://people.debian.org/~dexter php5 woody
deb-src http://people.debian.org/~dexter php5 woody
 
 
A priori ca semble marcher  
on verra ce soir

Je vais peut etre poser une question qui a deja ete repondu :
 
Apres etude de tes .php je ne trouve pas lendroit ou tu parcours le log  
 de ssh a la recherche des connexions refuse pour remplir la tabe des ban.
 
Si tu peut me donner ces petites infos je suis preneur
 
merci davance

Arf pardon, le php est seulement le frontal a la base
le pl est loutil de remplissage de la base

Des petites remarques concernant le script perl (que jutilise) :
 
Pour les hash en perl mieux vaut latteindre en $Hash{key} plutot
que %Hash->{key} qui declenche un warning au niveau du compilo perl.
 
Pour la connexion a une base presente sur une autre machine du reseau  
il faut :
Modifier ds la table user de mysql la valeur host de lutilisateur ban_ip de localhost en %
Modifier legerement letape de connexion du script perl :
 
La ligne my $DB_DSN = "DBI:mysql:database=$DB_NAME";
en my $DB_DSN = "DBI:mysql:$DB_NAME:$DB_HOST";
 
Cette ligne dailleur fonctionne nikel meme en local host
 
 
voila voila
si ca deja etait resolu je men escuse
 
et je salue une fois de plus tomate

merci

Je me met sur le frontal php  
SI g des petites sugestions je vous les fait suivre

mais de toute façon il serait préférable d'utiliser les fonctionnalités de SSH ou PF pour faire ça, car bien mieux géré

c dommage, je conptais rajouter dans ton parse du fichier de log
la ban au bout de X fois le mauvais mot de passe
pour eviter le brutforce

tu peux le faire

le seul probleme que g pour le moment est le suivant :
dans mes iptables g une regle :  
iptables -A INPUT -p tcp --dport ssh -i eth0 -j ACCEPT
pour autoriser le ssh depuis lexterieur
La relge par defaut pointe sur DROP
Lajout de la regle drop en -A pour lip banner na du coup plus dincidence car passant apres ma regle iptables -A INPUT -p tcp --dport ssh -i eth0 -j ACCEPT
Comment puisje regler le probleme?
 
Merci davance

pour info c la regle -I 1 qui place en tete de la chaine

donc faut rajouter les nouvelles règles en tête

vi
Jai modifie ton parselog
 if (($line =~ m/illegal\suser/) or ($line =~ m/Authentication\sfailure/)) {
Pour quil match sur les cas derreur de mot de passe et les cas derreur tutilisateur.
Mais g du rejouter un next if ($ip eq "ssh2" );
pour ne pas bannir ssh2 lol
 
Par contre je suis en train de voir les fonction de suppression dip banner depuis linterface php, c un peu le bordel car ca supprime de la base de donnee mais du cote iptable rien n'ai fait.

normal, car il faut être root pour toucher à iptables, donc pas possible depuis apache (en tout cas pas conseillé )
 
tu peux nous faire un patch entre ta version et la mienne ?