OVH Community, votre nouvel espace communautaire.

Script Anti BrutForce


madrippeur
19/12/2008, 09h23
oui

madrippeur
16/12/2008, 10h06
Citation Envoyé par Bruno-KS
Le problème c'est que ce script ne fera que surchager davantage la machine. Sa seule puissance sera de faire planter le serveur encore plus vite...

Et je rejoint les autres, la methode de blacklistage devrait être un DROP au niveau du firewall...
Drop plutôt que reject : entièrement d'accord !
Le fait de faire un drop va considérablement ralentir la chose. Le reject; les pas beaux ont quasi immédiatement le refus et réitèrent la commande plus rapidement.

Bruno-KS
09/12/2008, 18h09
Le problème c'est que ce script ne fera que surchager davantage la machine. Sa seule puissance sera de faire planter le serveur encore plus vite...

Et je rejoint les autres, la methode de blacklistage devrait être un DROP au niveau du firewall...

cassiopee
09/12/2008, 16h32
Mais pourquoi ne pas utiliser fail2ban pour faire ça justement ?

Juz
09/12/2008, 15h31
Oui, c'est pour ça que ce script est uniquement anti brute force,

Moi je l'utilise couplé à fail2ban et quelques log en plus

mpam
08/12/2008, 14h49
Merci, mais y a-t-il un avantage à utiliser ça plutôt que fail2ban?

mocs
08/12/2008, 10h01
Le serveur est obligé de répondre que ce soit en utilisant host.deny ou iptables
Donc le script est "efficace" si l'attaque façon bruteforce n'est pas de trop grande envergure....sinon de toute façon ca se terminera par une joli pluie de requêtes TCP non abouties et un denial of service

Loup Artic
06/12/2008, 00h18
Vi, mais le serveur est obligé de répondre du coup ou pas du coup ?

Juz
05/12/2008, 15h19
Citation Envoyé par Danux
Où est ce que tu vois le nombre d'ip bannies?
Bonjour,

Dans /var/log/blacklist.log
Ou dans /etc/host.deny

Loup Artic => Je trouve que cette façon est plus simple, mais ça n'engage que moi.

Loup Artic
04/12/2008, 03h06
Pourquoi pas direct dans iptable ?
Comme ca le serveur n'a même pas besoin de répondre.

Danux
04/12/2008, 00h09
Où est ce que tu vois le nombre d'ip bannies?

Juz
26/11/2008, 21h08
Bonjour,

J'ai trouvé un script assez puissant,
Pour ceux qui subisse beaucoup d'attaque type Brute Froce ce dernier devrait faire l'affaire =P.

Code:
cd /root
nano BruteForceBlocking.sh
Code:
#!/bin/sh
PATH=/usr/local/bin:/usr/local/sbin:/usr/bin:/usr/sbin:/bin:/sbin

#on récupère les ip des vilains pirates à partir du fichier auth.log, et on l'inclus dans le fichier blacklist.log pour le traitement.

cat /var/log/auth.log | grep "Failed" | awk -F "from" '{ print $2 }' | awk '{ print $1 }' | sort -u >/var/log/blacklist.log
cat /var/log/auth.log | grep "Illegal" | awk -F "from" '{ print $2 }' | awk '{ print $1 }' | sort -u >>/var/log/blacklist.log

#pour chaque ip on compte combien il y a eu d'erreurs d'authentification

for i in `cat /var/log/blacklist.log` ; do
  nberreurs1=`cat /var/log/auth.log | grep "Failed" | grep $i | wc -l`
  nberreurs2=`cat /var/log/auth.log | grep "Illegal" | grep $i | wc -l`
  let nberreurs=$nberreurs1+$nberreurs2

#si il y a eu plus de 3 erreurs et que l'ip n'est pas déjà blacklistée et bien on la blackliste !
if [ "$nberreurs" -ge "3" ]
    then
    if [ "`cat /etc/hosts.deny | grep $i`" = "" ]
      then
      echo "ALL: $i" >>/etc/hosts.deny
    fi
  fi
done
Faite attention au copier/coller sous windows.

On le sauvegarde et on le rend éxecutable !

Code:
chmod +x BruteForceBlocking.sh
Code:
./BruteForceBlocking.sh
Ensuite vous pouvez ajouter un cron si ça vous tente !

Je tiens à préciser que ce script n'est pas de moi.

L'auteur original est : Dexinou du forum nuxwin

Sur mon SP Best OF j'ai environ 10 Ips banni / jours ... Je précise que j'ai beaucoup d'ip OVH qui brute force ...

Bien cordialement