Script bei falschem Login ausführen

Diskutiere Script bei falschem Login ausführen im Linux OS Forum im Bereich Linux/Unix Allgemein; Hallo erstmal. Ich möchte verschiedene Dienste meines Servers überwachen und jedes Mal wenn ein Loginversuch fehlschlägt möchte ich ein Script...

  1. feiz

    feiz Eroberer

    Dabei seit:
    21.03.2008
    Beiträge:
    67
    Zustimmungen:
    0
    Hallo erstmal.

    Ich möchte verschiedene Dienste meines Servers überwachen und jedes Mal wenn ein Loginversuch fehlschlägt möchte ich ein Script ausführen.
    Konkret möchte ich sshd, proftpd, smtp und Apache (htaccess) überwachen.

    Ziel des ganzen ist, bei einer bestimmten Zahl falscher Loginversuche die IP für eine gewisse Zeit auf die Blacklist zu setzen.

    Bisher mache ich das über einen Cronjob, in dem ich zu bestimmten Zeiten die Logfiles analysiere, das ist mir jedoch nicht zeitnah genug.

    Weiß jemand, wie man sowas ereignisorientiert für die oben genannten Dienste machen kann?

    Vielen Dank.
     
  2. Anzeige

    Anzeige

    Wenn du mehr über Linux erfahren möchtest, dann solltest du dir mal folgende Shellkommandos anschauen.


    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. sinn3r

    sinn3r Law & Order
    Moderator

    Dabei seit:
    28.12.2006
    Beiträge:
    2.769
    Zustimmungen:
    3
    Ort:
    Wentorf
  4. #3 cuddlytux, 21.03.2008
    cuddlytux

    cuddlytux Alles außer unix ist sc..

    Dabei seit:
    25.11.2005
    Beiträge:
    169
    Zustimmungen:
    0
    Ort:
    Rheinhessen
  5. feiz

    feiz Eroberer

    Dabei seit:
    21.03.2008
    Beiträge:
    67
    Zustimmungen:
    0
    Hi.

    Ban2Fail ist zwar ganz gut und schön, doch leider ist mein Server ein vServer und ich darf nur eine geringe Anzahl ip Tables Regeln anlegen, die ich zudem noch nicht mal vom Server aus direkt ändern kann, sondern nur über das hostsystem.
    Ich muss also die Sperrfunktionen der verschiedenen Dienste nehmen, und die IPs die ich sperren will in die entsprechenden Dateien eintragen.

    Gibts denn keine Möglichkeit, falsche Logins irgendwie abzufangen und ein script auszuführen, bzw ein Script auszuführen sobald sich eine der relevanten Logdateien geändert hat?

    Klar ich könnte ein Programm schreiben, das in einer Endlosschleife in bestimmten Abständen ständig die relevanten Dateien überwacht, aber das kostet doch zu viel CPU Power?
    Oder ist es locker zu vertreten 6 Logdateien alle 1-2 Sekunden zu prüfen und bei Änderung ein Script zu starten, welches dann die letzten Einträge parst und entsprechende Aktionen durchführt?
     
  6. L0s3r

    L0s3r Tripel-As

    Dabei seit:
    22.09.2007
    Beiträge:
    216
    Zustimmungen:
    0
    Ort:
    MV
    Sollte kein Problem sein. Bei mir werden 3 Logfiles im Sekundentakt überprüft und das belasted die CPU annähernd 0 ;)
     
  7. Gast1

    Gast1 Guest

    Und was soll das in punkto Sicherheit bringen?

    Die Zeit ist besser in eine sichere Authentifizierungsmethode investiert, dann können sich die Scriptkiddies/Bots so oft versuchen einzuloggen, wie sie wollen.

    Greetz,

    RM
     
  8. sinn3r

    sinn3r Law & Order
    Moderator

    Dabei seit:
    28.12.2006
    Beiträge:
    2.769
    Zustimmungen:
    3
    Ort:
    Wentorf
    Wobei das bruteforcen einer .htaccess Sicherung mit bekanntem Nutzer und einem 1-7 stelligen Passwortes gut und gerne ein paar Wochen dauert.

    Die Muehe wird sich wohl niemand machen.
     
  9. L0s3r

    L0s3r Tripel-As

    Dabei seit:
    22.09.2007
    Beiträge:
    216
    Zustimmungen:
    0
    Ort:
    MV
    Ruhe im Log is trotzdem was herrliches :D
    Code:
    Sat Mar 22 14:13:24 2008 [pid 25646] CONNECT: Client "83.170.124.152"
    Sat Mar 22 14:13:24 2008 [pid 25646] FTP response: Client "83.170.124.152", "220 (vsFTPd 2.0.5)"
    Sat Mar 22 14:13:24 2008 [pid 25646] FTP command: Client "83.170.124.152", "USER mysql"
    Sat Mar 22 14:13:24 2008 [pid 25646] [mysql] FTP response: Client "83.170.124.152", "530 This FTP server is anonymous only."
    Sat Mar 22 14:13:24 2008 [pid 25646] FTP command: Client "83.170.124.152", "USER mysql"
    Sat Mar 22 14:13:24 2008 [pid 25646] [mysql] FTP response: Client "83.170.124.152", "530 This FTP server is anonymous only."
    Sat Mar 22 14:13:24 2008 [pid 25646] FTP command: Client "83.170.124.152", "USER mysql"
    Sat Mar 22 14:13:24 2008 [pid 25646] [mysql] FTP response: Client "83.170.124.152", "530 This FTP server is anonymous only."
    =
    14:13:25 22.03.08 Client 83.170.124.152 gebannt
    =
    
    Besser so den Übeltäter abgewürgt, als diese Versuche über längere Zeiträume. Wenn das nämlich 3-10 mal täglich und teilweise über Stunden läuft, macht das Logauswerten keinen Spass mehr...
     
  10. #9 sinn3r, 22.03.2008
    Zuletzt bearbeitet: 22.03.2008
    sinn3r

    sinn3r Law & Order
    Moderator

    Dabei seit:
    28.12.2006
    Beiträge:
    2.769
    Zustimmungen:
    3
    Ort:
    Wentorf
    Code:
    (18:48:06) du -h /var/log/apache2/
    569M     /var/log/apache2/
    
    Nach einem lokalen Bruteforce-Versuch auf eine .htaccess-Sicherung, denn ich nach 5 Tagen abgebrochen habe. Klar soweit? *G*
    In diesem Falle auch mit deaktiviertem Fail2ban.

    @TE: Du siehst also, man merkt das durchaus auch ohne Skript, wenn da wirklich einer Bruteforced. Und das einzige was mittelfristig ohne logrotate passiert, ist das dir die /var ueberlaeuft und somit dein System lahmlegt *G*
     
  11. Gast1

    Gast1 Guest

    Und mit Pubkey-Authentifizierung kann $REMOTE_ANGREIFER bruteforcen, bis ihm die Radieschen aus den Ohren wachsen.
     
Thema:

Script bei falschem Login ausführen

Die Seite wird geladen...

Script bei falschem Login ausführen - Ähnliche Themen

  1. Hermes: JavaScript-Engine von Facebook

    Hermes: JavaScript-Engine von Facebook: Facebook hat Hermes, eine JavaScript-Engine zur Ausführung von React Native auf Android, vorgestellt. Hermes optimiert die Ausführung von...
  2. mehrsprachiges Shellscript - wie umsetzen?

    mehrsprachiges Shellscript - wie umsetzen?: Hallo, wie zieht man am besten mehrsprachige Scripte auf? Zuerst alle Texte in Variablen legen und diese später im Script aufrufen, je nach...
  3. script sshpass

    script sshpass: Guten Morgen, auf einem Admin Server (RHEL) wo nur wir Admin Zugriff haben möchte ich gerne ein Script starten, welches über ssh überprüft ob ich...
  4. Verschlüsseltes Backup-Script mit rsync

    Verschlüsseltes Backup-Script mit rsync: Hey, ich habe 3 CentOS VPS, die ich backupen möchte. Jedoch möchte ich mir hierzu einen 4. VPS mieten, damit die 3 VPS keinen Zugang zu dem...
  5. Frage zu Bash Script mit Grep Ausgabe

    Frage zu Bash Script mit Grep Ausgabe: Hallo Zusammen, ich schreibe gerade in Bash ein Script, mit dem ich eine Ausgabe per Grep filtere, nun ist es so - dass ich allerdings zwei...
  1. Diese Seite verwendet Cookies um Inhalte zu personalisieren. Außerdem werden auch Cookies von Diensten Dritter gesetzt. Mit dem weiteren Aufenthalt akzeptierst du diesen Einsatz von Cookies.
    Information ausblenden