Fórumok
Felállítottam egy exim szervert, ami még nincs használatban, de a logokban mégis rengeteg hibás kapcsolódási kísérlet van. Ezek szerint már próbálgatják is a szervert.
Írnék rá valami kis scriptet, ami kigyűjti az egyértelműen rosszindulatú IP címeket, de hátha van már hasonló, logot olvasó, és sokkal több okosságot tartalmazó (kísérletet felismerő) script megírva.
Ismertek ilyet?
Hozzászólások
Ágyúval verébre lesz, de pl Elastic, Splunk vagy OSSIM (AlienVault) alapokon egész jó kis detektáló rendszereket lehet összerakni.
Igen, ágyúnak tűnik, de azért köszönöm.
Ha jól látom, a szabályokat itt is nekem kell összeraknom, így pont az eximes okosság nincs meg benne. Emiatt nem látom, ez mennyivel jobb, mintha magam írok egy kis perl scriptet a logok felolvasására.
talan a fail2ban is megfelelhet a celra.
Köszönöm, azt hiszem, ezt kerestem!
Nem csak kiolvassa az okosságokat, de blokkol is rögtön.
Az azért meglepett, hogy a nagios-t rögtön tiltotta is, ezért fel kellett vennem fehérlistára. Lehet azonban, hogy ez rendben van így, más ne nagyon monitorozzon engem, csak akiről tudok.
Ráadásul eximen kívül sok más okosság is benne van, minimális matatási igénnyel.
Szép-szép ez a fail2ban, de a sok benne lévő okosság ellenére, a gyakorlatban mégsem nagyon blokkolgat egyelőre.
Ahogy néztem, ennek az egyik fő oka, hogy teljes alhálókról, váltogatott ip címről jönnek a próbálkozások.
Én nem találtam rá módot, hogy konkrét ip cím helyett tartományokra összegezzen és szűrjön.
Be lehet ez valahogy állítani a fail2ban konfigurációjában?