Kommentare zu: fail2ban /blog/fail2ban/ Hier steht mal irgendwann ein toller Titel. Fri, 13 Apr 2012 12:58:14 +0000 hourly 1 http://wordpress.org/?v=3.2.1 Von: xsteadfastx /blog/fail2ban/#comment-1574 xsteadfastx Mon, 20 Feb 2006 05:46:27 +0000 http://michik.net/amishgeeks/blog/fail2ban/#comment-1574 Das Script sieht ja viel vielversprechend aus :) Aber ob das mit metalog funktioniert....mmhhh Das Script sieht ja viel vielversprechend aus :) Aber ob das mit metalog funktioniert….mmhhh

]]> Von: MichiK /blog/fail2ban/#comment-1572 MichiK Sun, 19 Feb 2006 11:37:22 +0000 http://michik.net/amishgeeks/blog/fail2ban/#comment-1572 Hm, das klingt echt nett. Ich glaub, ich installiere das hier auf dem Server auch mal... ;) Hm, das klingt echt nett. Ich glaub, ich installiere das hier auf dem Server auch mal… ;)

]]> Von: Khark /blog/fail2ban/#comment-1571 Khark Sun, 19 Feb 2006 02:50:10 +0000 http://michik.net/amishgeeks/blog/fail2ban/#comment-1571 Kurz im IRC angefragt und schon hat man die Lösung bzgl. der Zeilennummern. Zudem werden jetzt nur die fehlgeschlagenen Logins gezählt. <strong>xxx:/home/xxx#</strong> grep "Illegal user" /var/log/auth.log | awk '{print $10}' | sort | uniq -c | sort -r | nl 1 867 220.119.33.251 2 23 218.108.245.37 3 1 84.134.89.162 4 1 203.193.148.11 <strong>Es gilt:</strong> Zeilennummer (Platzierung), Anzahl versuchter Logins (fehlgeschlagene), IP Ja.. Gut.. Ok... Platz 3 und 4 haben die gleiche Anzahl von Logins und sollten sich also eigentlich Platz 3 teilen... Sagen wir mal zu 98% haben wir das Ziel erreicht. Und die starke Abweichung bei der IP 218.108.245.37 kommt zustande, weil es min. 4 versch. Arten von Statusmeldungen bzgl. erfolgreich/fehlgeschlagener Login gibt. <blockquote>Connection from 218.108.245.37 port 59581 Did not receive identification string from 218.108.245.37 Connection from 218.108.245.37 port 51440 User root not allowed because not listed in AllowUsers Connection from 218.108.245.37 port 50403 Illegal user fatacunike from 218.108.245.37 Connection from 84.134.89.162 port 1228 Accepted keyboard-interactive/pam for nonroot from 84.134.89.162 port 1228 ssh2</blockquote> Wir wollen ja ALLE Arten von fehlgeschlagenen Logins bekommen.. Ich glaube es ist besser das zählen der Logins anhand der PID festzumachen, daran kann man dann auch die Zeilen vergleichen. So nach dem Motto: Wenn die PID gleich ist, gucke was in den Zeilen steht.. - Hat den Vorteil, das man nach den versch. Angriffs-/Ablehnungsmethoden trennen kann. Kurz im IRC angefragt und schon hat man die Lösung bzgl. der Zeilennummern.
Zudem werden jetzt nur die fehlgeschlagenen Logins gezählt.

xxx:/home/xxx# grep “Illegal user” /var/log/auth.log | awk ‘{print $10}’ | sort | uniq -c | sort -r | nl
1 867 220.119.33.251
2 23 218.108.245.37
3 1 84.134.89.162
4 1 203.193.148.11

Es gilt:
Zeilennummer (Platzierung), Anzahl versuchter Logins (fehlgeschlagene), IP

Ja.. Gut.. Ok… Platz 3 und 4 haben die gleiche Anzahl von Logins und sollten sich also eigentlich Platz 3 teilen…
Sagen wir mal zu 98% haben wir das Ziel erreicht.

Und die starke Abweichung bei der IP 218.108.245.37 kommt zustande, weil es min. 4 versch. Arten von Statusmeldungen bzgl. erfolgreich/fehlgeschlagener Login gibt.

Connection from 218.108.245.37 port 59581
Did not receive identification string from 218.108.245.37

Connection from 218.108.245.37 port 51440
User root not allowed because not listed in AllowUsers

Connection from 218.108.245.37 port 50403
Illegal user fatacunike from 218.108.245.37

Connection from 84.134.89.162 port 1228
Accepted keyboard-interactive/pam for nonroot from 84.134.89.162 port 1228 ssh2

Wir wollen ja ALLE Arten von fehlgeschlagenen Logins bekommen..
Ich glaube es ist besser das zählen der Logins anhand der PID festzumachen, daran kann man dann auch die Zeilen vergleichen.
So nach dem Motto: Wenn die PID gleich ist, gucke was in den Zeilen steht..
– Hat den Vorteil, das man nach den versch. Angriffs-/Ablehnungsmethoden trennen kann.

]]> Von: Khark /blog/fail2ban/#comment-1570 Khark Sun, 19 Feb 2006 01:20:09 +0000 http://michik.net/amishgeeks/blog/fail2ban/#comment-1570 Guck mal unter dem letzten Link. Der awk-Ausdruck sollte sich auf auf auth.log anwenden lassen. Man muss ihn nur nicht nach "Ban: " suchen lassen. Dann hat man das schonmal gezählt und nach Häufigkeit sortiert :D <strong>In etwa so: xxx:/home/xxx# grep "Connection from" /var/log/auth.log | awk '{print $8}' | sort | uniq -c | sort -r</strong> 921 220.119.33.251 564 218.108.245.37 8 62.176.251.42 5 62.176.249.118 3 84.134.89.162 3 62.176.253.233 2 203.193.148.11 1 218.94.129.230 Fehlt nur noch die Platzierung (kann mir Zeilennummern machen - nur wie? sort und wc haben keine Option dafür) und eine Highscore-History :D Guck mal unter dem letzten Link.
Der awk-Ausdruck sollte sich auf auf auth.log anwenden lassen. Man muss ihn nur nicht nach “Ban: ” suchen lassen.
Dann hat man das schonmal gezählt und nach Häufigkeit sortiert :D

In etwa so:
xxx:/home/xxx# grep “Connection from” /var/log/auth.log | awk ‘{print $8}’ | sort | uniq -c | sort -r
921 220.119.33.251
564 218.108.245.37
8 62.176.251.42
5 62.176.249.118
3 84.134.89.162
3 62.176.253.233
2 203.193.148.11
1 218.94.129.230

Fehlt nur noch die Platzierung (kann mir Zeilennummern machen – nur wie? sort und wc haben keine Option dafür) und eine Highscore-History :D

]]> Von: codec /blog/fail2ban/#comment-1569 codec Sun, 19 Feb 2006 00:46:01 +0000 http://michik.net/amishgeeks/blog/fail2ban/#comment-1569 Ich benutze fail2ban auch und lass mir die Angriffe u.a. auch in eine MySQL-Datenbank schreiben (http://security.fnord.name). Jetzt fällt mir auch wieder ein das ich noch so ein Rekord-Dings schreiben wollte.. *grübel* Ich benutze fail2ban auch und lass mir die Angriffe u.a. auch in eine MySQL-Datenbank schreiben (http://security.fnord.name).

Jetzt fällt mir auch wieder ein das ich noch so ein Rekord-Dings schreiben wollte.. *grübel*

]]>