Script bei falschem Login ausführen

Dieses Thema im Forum "Linux OS" wurde erstellt von feiz, 21.03.2008.

  1. feiz

    feiz Eroberer

    Dabei seit:
    21.03.2008
    Beiträge:
    67
    Zustimmungen:
    0
    Hallo erstmal.

    Ich möchte verschiedene Dienste meines Servers überwachen und jedes Mal wenn ein Loginversuch fehlschlägt möchte ich ein Script ausführen.
    Konkret möchte ich sshd, proftpd, smtp und Apache (htaccess) überwachen.

    Ziel des ganzen ist, bei einer bestimmten Zahl falscher Loginversuche die IP für eine gewisse Zeit auf die Blacklist zu setzen.

    Bisher mache ich das über einen Cronjob, in dem ich zu bestimmten Zeiten die Logfiles analysiere, das ist mir jedoch nicht zeitnah genug.

    Weiß jemand, wie man sowas ereignisorientiert für die oben genannten Dienste machen kann?

    Vielen Dank.
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. sinn3r

    sinn3r Law & Order
    Moderator

    Dabei seit:
    28.12.2006
    Beiträge:
    2.764
    Zustimmungen:
    0
    Ort:
    Wentorf
  4. #3 cuddlytux, 21.03.2008
    cuddlytux

    cuddlytux Alles außer unix ist sc..

    Dabei seit:
    25.11.2005
    Beiträge:
    169
    Zustimmungen:
    0
    Ort:
    Rheinhessen
  5. feiz

    feiz Eroberer

    Dabei seit:
    21.03.2008
    Beiträge:
    67
    Zustimmungen:
    0
    Hi.

    Ban2Fail ist zwar ganz gut und schön, doch leider ist mein Server ein vServer und ich darf nur eine geringe Anzahl ip Tables Regeln anlegen, die ich zudem noch nicht mal vom Server aus direkt ändern kann, sondern nur über das hostsystem.
    Ich muss also die Sperrfunktionen der verschiedenen Dienste nehmen, und die IPs die ich sperren will in die entsprechenden Dateien eintragen.

    Gibts denn keine Möglichkeit, falsche Logins irgendwie abzufangen und ein script auszuführen, bzw ein Script auszuführen sobald sich eine der relevanten Logdateien geändert hat?

    Klar ich könnte ein Programm schreiben, das in einer Endlosschleife in bestimmten Abständen ständig die relevanten Dateien überwacht, aber das kostet doch zu viel CPU Power?
    Oder ist es locker zu vertreten 6 Logdateien alle 1-2 Sekunden zu prüfen und bei Änderung ein Script zu starten, welches dann die letzten Einträge parst und entsprechende Aktionen durchführt?
     
  6. L0s3r

    L0s3r Tripel-As

    Dabei seit:
    22.09.2007
    Beiträge:
    216
    Zustimmungen:
    0
    Ort:
    MV
    Sollte kein Problem sein. Bei mir werden 3 Logfiles im Sekundentakt überprüft und das belasted die CPU annähernd 0 ;)
     
  7. Gast1

    Gast1 Guest

    Und was soll das in punkto Sicherheit bringen?

    Die Zeit ist besser in eine sichere Authentifizierungsmethode investiert, dann können sich die Scriptkiddies/Bots so oft versuchen einzuloggen, wie sie wollen.

    Greetz,

    RM
     
  8. sinn3r

    sinn3r Law & Order
    Moderator

    Dabei seit:
    28.12.2006
    Beiträge:
    2.764
    Zustimmungen:
    0
    Ort:
    Wentorf
    Wobei das bruteforcen einer .htaccess Sicherung mit bekanntem Nutzer und einem 1-7 stelligen Passwortes gut und gerne ein paar Wochen dauert.

    Die Muehe wird sich wohl niemand machen.
     
  9. L0s3r

    L0s3r Tripel-As

    Dabei seit:
    22.09.2007
    Beiträge:
    216
    Zustimmungen:
    0
    Ort:
    MV
    Ruhe im Log is trotzdem was herrliches :D
    Code:
    Sat Mar 22 14:13:24 2008 [pid 25646] CONNECT: Client "83.170.124.152"
    Sat Mar 22 14:13:24 2008 [pid 25646] FTP response: Client "83.170.124.152", "220 (vsFTPd 2.0.5)"
    Sat Mar 22 14:13:24 2008 [pid 25646] FTP command: Client "83.170.124.152", "USER mysql"
    Sat Mar 22 14:13:24 2008 [pid 25646] [mysql] FTP response: Client "83.170.124.152", "530 This FTP server is anonymous only."
    Sat Mar 22 14:13:24 2008 [pid 25646] FTP command: Client "83.170.124.152", "USER mysql"
    Sat Mar 22 14:13:24 2008 [pid 25646] [mysql] FTP response: Client "83.170.124.152", "530 This FTP server is anonymous only."
    Sat Mar 22 14:13:24 2008 [pid 25646] FTP command: Client "83.170.124.152", "USER mysql"
    Sat Mar 22 14:13:24 2008 [pid 25646] [mysql] FTP response: Client "83.170.124.152", "530 This FTP server is anonymous only."
    =
    14:13:25 22.03.08 Client 83.170.124.152 gebannt
    =
    
    Besser so den Übeltäter abgewürgt, als diese Versuche über längere Zeiträume. Wenn das nämlich 3-10 mal täglich und teilweise über Stunden läuft, macht das Logauswerten keinen Spass mehr...
     
  10. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  11. #9 sinn3r, 22.03.2008
    Zuletzt bearbeitet: 22.03.2008
    sinn3r

    sinn3r Law & Order
    Moderator

    Dabei seit:
    28.12.2006
    Beiträge:
    2.764
    Zustimmungen:
    0
    Ort:
    Wentorf
    Code:
    (18:48:06) du -h /var/log/apache2/
    569M     /var/log/apache2/
    
    Nach einem lokalen Bruteforce-Versuch auf eine .htaccess-Sicherung, denn ich nach 5 Tagen abgebrochen habe. Klar soweit? *G*
    In diesem Falle auch mit deaktiviertem Fail2ban.

    @TE: Du siehst also, man merkt das durchaus auch ohne Skript, wenn da wirklich einer Bruteforced. Und das einzige was mittelfristig ohne logrotate passiert, ist das dir die /var ueberlaeuft und somit dein System lahmlegt *G*
     
  12. Gast1

    Gast1 Guest

    Und mit Pubkey-Authentifizierung kann $REMOTE_ANGREIFER bruteforcen, bis ihm die Radieschen aus den Ohren wachsen.
     
Thema:

Script bei falschem Login ausführen

Die Seite wird geladen...

Script bei falschem Login ausführen - Ähnliche Themen

  1. Bräuchte Hilfe bei Backupscript mittels Bash und cronjob

    Bräuchte Hilfe bei Backupscript mittels Bash und cronjob: Es soll für bestimmte Ordner Archivierung aller Dateien(Logfiles), die älter als 30 Tage sind machen. Am besten einmal täglich nachts irgendwann....
  2. Bashscript aus Debian6 läuft nicht auf Debian7

    Bashscript aus Debian6 läuft nicht auf Debian7: Hallo an alle, nachdem ich ein Skript von squeeze auf wheezy kopiert habe und ausführte, erschienen gleich wilde Fehlermeldungen, nach denen ich...
  3. Shell Script Problem

    Shell Script Problem: Hallo zusammen, ich arbeite momentan mit einem Plagiat Tool, die ich über Git Bash ausführe. Es wird im Endeffekt ein Link generiert, die ich...
  4. Externes Programm mit Script ausführen?

    Externes Programm mit Script ausführen?: Hallo, ich würde gern ein Script zum klonen von festplatten schreiben z.B. mit dem Programm Mondo Rescue. Ist es möglich externen Programmen...
  5. sh Script zum Autostart

    sh Script zum Autostart: hallo liebe Mitglieder, wenn ich unter Linux eins meiner Shell Skripte im Autostart haben will nutze ich immer die @reboot Funktion im crontab....