Reprise du message précédent :

justement la regexp n'existe pas d'où le pb
 
il faut la faire et le rajouter dans la fonction ParseLog

Bon, j'ai trouvé comment faire, il fallait modifier :
 

en
 

nan c'est sale
 
et si une autre personne a l'IP pas au même endroit il aura le même pb

Non, c'est à personnaliser, suivant le log, on compte les mots en partant de la fin, jusqu'à tomber sur l'IP.

C'est pas un truc de ce genre que tu cherches?
($ip) = ( $line =~ m/Failed\spassword.*?(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})/i );
 
Référence Perl: http://sylvain.lhullier.org/publications/perl.html

Merci Glor, mais ca fonctionne très bien maintenant

Tout n'est pas encore très clair
 
Les IP dans la White List ne sont pas souvent prise en compte, j'ai réussi à bannir le 127.0.0.1 ainsi que l'IP de mon post local (malgrès qu'elles soient dans la White List).
 
Il y as t'il une dernière version de ce script tomate stp ?
 
root@ns# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  211.160.20.***       anywhere
DROP       all  --  localhost            anywhere
DROP       all  --  211.160.20.***       anywhere
DROP       all  --  localhost            anywhere
 
Il arrive également à me faire des doublons (l'IP présente en double est une ip mechante )
 
<-- i love this smiley

tout d'abord, j'aimerais remercier toute les personnes qui ont participées à ce topic, j'ai ennormément apris de choses.
 
et je me permet de rajouter une pière à l'édifice...
 
j'ai modifié le script et je vous en ferais par d'ici peu pour l'adapter à debian et à mon firewall actuel.
 
j'ai crée un autre script qui permet juste de voir quels sont actuellement les ip banies.
 
j'ai dans une crontab un appel de mise à jour de mon firewall (ajout, suppression dynamique de règles basé sur le script de tomate mais en analyse du log firewall)
un autre script (celui de tomate encore pour banir les pouris qui osent m'attaquer avec un dictionnaire.. sisi je vous assure.. 3460 essais en moins de 2 heures avec la même ip...)
toute les 30 minutes je redémarrer le firewall (ça peut paraitre bourin.. mais ça me permet de repartir quoi qu'il arrive sur une base propre.. au cas où...
 
mon script de firewall execute mon script maison qui note juste les IP à banir .. ce qui me permet donc de débanir (avec un delai de 30 minutes) directement avec l'interface WEB...
 
étant donné que mes scripts attaquent la même base, les IP à banir sont noté 1 pour le firewall et 2 pour le ssh  
les mec qui essayent de m'attaquer sur des ports interdit et qui insistent se retrouvent bani 1 journée.. les mec qui jouent avec le dico sur ssh c'est une semaine... et un mail chez le FAI si l'attaque est vraiment trop flagrante...
 
je vous fais part de mes fichiers dès que ça sera plus propre...
 
 
j'ai cependant un problème... dans ma crontab j'execute le script de banissement.. mais il ne met pas à jour la base de donnée.. alors que si je l'execute à la main.. ça marche... par contre.. le débanissement .. marche à merveille .. toute les minutes. ça débani...
 
je vous en dis plus très bientot...

http://sourceforge.net/projects/fail2ban

burned de seulement 200 messages

 
 
une histoire de $PATH ?

je pense en effet, c'est le coup classique

Hello à tous.
 
J'ai également commencer à développer un soft similaire 'ban_ssh'.
 
Venez sur mon WIKI pour voir l'avancement et proposer vos modifications.
 
http://bisols.dyndns.org/wiki/doku.php?id=ban_ssh
 
Si vous le désirez, je peux également vous faire des pages pour les deux projets (script PERL et script C).
 
Salutations. bisol

un article assez clair sur le sujet :
http://www.linux.com/article.pl?sid=05/09/15/1655234

je me suis mis à utiliser fail2ban et ma fois, il me rend bien service

moi je cherche un script dans le meme genre que vous mais pour le access.log d'apache et de bannier les mec qui flood..
 
J'avais fais un truc en PHP qui marchait tres bien mais c'est trop de la bricole...

http://www.snert.com/Software/mod_throttle/

up!

ESt ce que se systeme pourrait fonctionner avec des adresses mac sous forme ipv6?.  
c'est a prendre en compte pour ton etudes.  

J'ai deja utiliser mod_throttle tout comme mod_dosevasive mais ca ne bloque rien au niveau du firewall...

de toute façon si tu te manges un DOS c'est pas le firewall qui va régler le pb

bein, mod_throtthle et mod_dosevasive renvoie une erreur 500 lorsque la page est "trop" demandée. Or Un affichage recurrant de ces pages bouffe la BP.
Or si je bloque au niveau IPTABLES deja, bein la conexion devient possible pour les autres visiteurs...

certes mais si tu as un vrai DOS, ta connexion sera quand même bouffée en DL (et plus en UP)

 
POur l'instant ,je tente de me proteger contre une "faux" DOS  

avec iptables tu peux utilise le match limit pour limiter le nombre de connection acceptée par secondes
edit: mais bon la seule résultante sera d'alléger ton serveur Web, et ca sera plus facile pour faire un vrai DoS

Un ptit message parce que j'ai un petit probleme:
 
J'ai bien configuré ma bdd, j'ai changé le repertoire par /var/log/auth.log mais le script ne produit rien    
 
J'ai loupé un épisode ?

 
 
Si j'appelle le script en absolu ? quel problème peut poser la variable $PATH ?
 
J'avais fait plusieurs essais, avec même /bin/perl /root/script.pl   la crontab est celle de root (rajout de la ligne avec crontab -e)
 
Plus bizard, car la moitier de mes scripts s'éxecutent en crontab... certains sh et certains pl...
 
le script.pl executé à la main rajoute bien les ip à bannir... il supprime aussi les ip à débannir.. par contre en automatique.. il  ne fait que débanir... pas de bannissement..
 
du coup.. commençant à devenir très fumeu... j'ai abandoné.. j'ai changé le port ssh...
 
Mais j'ai envie de continuer la manip... et si ça convient revenir avec mon port standard...
je ferais une petite page avec accès à mes programmes.. dès que j'ai un peu de temps..

Bonjour à tous.
 
Hier, j'ai eu la (mauvaise) idée de regarder les logs sur mon petit serveur ftp perso. Et là, je m'apercoit qu'une fois par jour, j'ai des tentatives de connexion ssh.
On m'a redirigé ici
Je suis sur fedora core, quelqu'un a essayé le script sur cette distrib ?

sinon change le port de sshd

oui, ca m'a été suggéré.
mais si je le change pour le port 50 par exemple (au fait, c'est quoi le mieux, un port < ou > à 1024 pour ce genre de truc ?), lors d'un scan, ce port paraitra ouvert, et les gens essaieront de s'y connecter en essayant divers protocol, dont ssh, non ? c'est reculer pour mieux sauter, non ?

nan en général c'est des bots donc si le port 22 est closed, ils passent à une autre machine

 
Ok, ben je vais faire ca alors.

bon voici à mon avis la parade ultime pour laisser sshd sur le port 22 sans être emmerdé par des bots
 
vu sur http://www.debian-administration.org/
 
rajoutez simplement ces 2 lignes :  

 
et voila, si 3 tentatives échoues depuis la même IP en 300 secondes, iptables ban l'ip (pour 300 secondes apparement)
 
ultime !

trop bon ça..  
 
tiens je vais aller faire un tour sur  debian-admin là pour voir si y a pas des truc intérraissants...
 
tiens.. pendant qu'on y est.. dans le banissement.. peut-on facilement définir une regle iptable perissable : je m'explique, ça serait une regle qui ne dure que pendant un temps défini (ce qui permet de faire un banissement temporaire sans avoir à mettre en place une usine exterieure qui supprime les regles périmées..) ... bon, là je sais, je demande la lune....
 

bah c'est ce que font les 2 lignes iptables que j'ai donné
apparement l'IP est bannie pendant le même temps définit par --seconds (qui définit le temps pendant lequel une IP n'a pas le droit de faire X connexions simultannées en SSH)

non en fait, j'aurais voulu distinguer les 2 ..
 
exemple.. 3 connections en 100 secondes => une semaine de BAN;.. (bin ouais faut pas déconner non plus...)  
 
le problème.. qui a déjà été soulevé ici c'est le spoofing... => avec se principe .. en très peu de temps. on aura dépassé la limite des ip à banir par iptable...
 

Parfait ca merci, car je voulais pas installer un truc lourd pour que ca (comme un server SQL ou autre).
La c'est bon
 
En plus cet hiver j'avais eu un problème à l'université car j'avais changé le port, donc maintenant je ne change plus le port ssh et je me refais attaquer

le script est telechargeable ?

le script c'est ça maintenant