Script bei falschem Login ausführen

F

feiz

Eroberer
Hallo erstmal.

Ich möchte verschiedene Dienste meines Servers überwachen und jedes Mal wenn ein Loginversuch fehlschlägt möchte ich ein Script ausführen.
Konkret möchte ich sshd, proftpd, smtp und Apache (htaccess) überwachen.

Ziel des ganzen ist, bei einer bestimmten Zahl falscher Loginversuche die IP für eine gewisse Zeit auf die Blacklist zu setzen.

Bisher mache ich das über einen Cronjob, in dem ich zu bestimmten Zeiten die Logfiles analysiere, das ist mir jedoch nicht zeitnah genug.

Weiß jemand, wie man sowas ereignisorientiert für die oben genannten Dienste machen kann?

Vielen Dank.
 
Hi.

Ban2Fail ist zwar ganz gut und schön, doch leider ist mein Server ein vServer und ich darf nur eine geringe Anzahl ip Tables Regeln anlegen, die ich zudem noch nicht mal vom Server aus direkt ändern kann, sondern nur über das hostsystem.
Ich muss also die Sperrfunktionen der verschiedenen Dienste nehmen, und die IPs die ich sperren will in die entsprechenden Dateien eintragen.

Gibts denn keine Möglichkeit, falsche Logins irgendwie abzufangen und ein script auszuführen, bzw ein Script auszuführen sobald sich eine der relevanten Logdateien geändert hat?

Klar ich könnte ein Programm schreiben, das in einer Endlosschleife in bestimmten Abständen ständig die relevanten Dateien überwacht, aber das kostet doch zu viel CPU Power?
Oder ist es locker zu vertreten 6 Logdateien alle 1-2 Sekunden zu prüfen und bei Änderung ein Script zu starten, welches dann die letzten Einträge parst und entsprechende Aktionen durchführt?
 
Oder ist es locker zu vertreten 6 Logdateien alle 1-2 Sekunden zu prüfen und bei Änderung ein Script zu starten, welches dann die letzten Einträge parst und entsprechende Aktionen durchführt?

Sollte kein Problem sein. Bei mir werden 3 Logfiles im Sekundentakt überprüft und das belasted die CPU annähernd 0 ;)
 
Ziel des ganzen ist, bei einer bestimmten Zahl falscher Loginversuche die IP für eine gewisse Zeit auf die Blacklist zu setzen.
Und was soll das in punkto Sicherheit bringen?

Die Zeit ist besser in eine sichere Authentifizierungsmethode investiert, dann können sich die Scriptkiddies/Bots so oft versuchen einzuloggen, wie sie wollen.

Greetz,

RM
 
Wobei das bruteforcen einer .htaccess Sicherung mit bekanntem Nutzer und einem 1-7 stelligen Passwortes gut und gerne ein paar Wochen dauert.

Die Muehe wird sich wohl niemand machen.
 
Ruhe im Log is trotzdem was herrliches :D
Code:
Sat Mar 22 14:13:24 2008 [pid 25646] CONNECT: Client "83.170.124.152"
Sat Mar 22 14:13:24 2008 [pid 25646] FTP response: Client "83.170.124.152", "220 (vsFTPd 2.0.5)"
Sat Mar 22 14:13:24 2008 [pid 25646] FTP command: Client "83.170.124.152", "USER mysql"
Sat Mar 22 14:13:24 2008 [pid 25646] [mysql] FTP response: Client "83.170.124.152", "530 This FTP server is anonymous only."
Sat Mar 22 14:13:24 2008 [pid 25646] FTP command: Client "83.170.124.152", "USER mysql"
Sat Mar 22 14:13:24 2008 [pid 25646] [mysql] FTP response: Client "83.170.124.152", "530 This FTP server is anonymous only."
Sat Mar 22 14:13:24 2008 [pid 25646] FTP command: Client "83.170.124.152", "USER mysql"
Sat Mar 22 14:13:24 2008 [pid 25646] [mysql] FTP response: Client "83.170.124.152", "530 This FTP server is anonymous only."
=
14:13:25 22.03.08 Client 83.170.124.152 gebannt
=
Besser so den Übeltäter abgewürgt, als diese Versuche über längere Zeiträume. Wenn das nämlich 3-10 mal täglich und teilweise über Stunden läuft, macht das Logauswerten keinen Spass mehr...
 
Code:
(18:48:06) du -h /var/log/apache2/
569M     /var/log/apache2/
Nach einem lokalen Bruteforce-Versuch auf eine .htaccess-Sicherung, denn ich nach 5 Tagen abgebrochen habe. Klar soweit? *G*
In diesem Falle auch mit deaktiviertem Fail2ban.

@TE: Du siehst also, man merkt das durchaus auch ohne Skript, wenn da wirklich einer Bruteforced. Und das einzige was mittelfristig ohne logrotate passiert, ist das dir die /var ueberlaeuft und somit dein System lahmlegt *G*
 
Zuletzt bearbeitet:
Und mit Pubkey-Authentifizierung kann $REMOTE_ANGREIFER bruteforcen, bis ihm die Radieschen aus den Ohren wachsen.
 

Ähnliche Themen

ssh login via shell script, und anschliessend befehele ausfuehren.

Perl Script zur überwachung fon logfils.

Zurück
Oben