Forum

Brute-Force Ataklar...
 
Bildirimler
Hepsini Temizle

Brute-Force Atakları otomatik ip engelleme yardım lazım

4 Yazılar
4 Üyeler
0 Reactions
1,279 Görüntüleme
(@GaniKose)
Gönderiler: 1
New Member
Konu başlatıcı
 

Merhabalar, kendime ait bir fiziksel sunucum var(Linux). Günlük ortalama 200-300 Brute-force atack mesajı birikiyor sunucuda. Bir süredir manuel olarak putty den ssh a bağlanıp elle blokluyorum atak yapan ip leri ama bitmiyorlar. Bir ip geliyor 3000-5000 deneme yapıyor, onu engelliyorsun başkası geliyor. Benim sorum şu; bu ssh ta  şu kadar sayıdan fazla deneme yapan ip yi blokla diye bir komut yok mudur?

Teşekkürler

Şimdiye kadar nette şöyle bir komut önerisi gördüm:

iptables -N SSH_CHECK
iptables -A INPUT -p tcp –dport 22 -m state –state NEW -j SSH_CHECK
iptables -A SSH_CHECK -m recent –set –name SSH
iptables -A SSH_CHECK -m recent –update –seconds 60 –hitcount 4 –name SSH -j DROP

 

SSH_CHECK adında yeni bir zincir oluşturuyoruz. Gelen tüm yeni SSH isteklerinin bu zincir üzerinden geçmesini sağlıyoruz. Gelen tüm yeni SSH isteklerinin her ip adresi için 60 saniyelik zaman diliminde en fazla 3 adet olabileceğini belirtiyoruz. 60 saniye içerisinde 3′ten fazla istek gelmesi durumunda gelen tüm istekleri/paketleri dropluyoruz. Engellenen ip adresinden son drop işleminden itibaren 60 saniye içerisinde herhangi bir istek gelmezse bu süre sonunda yeni SSH isteği yapmasına izin veriyoruz.

 

 
Gönderildi : 12/01/2016 13:54

(@vasviuysal)
Gönderiler: 7890
Üye
 

ssh için default portu değiştirmek de  kısmen yararlı olacaktır

 
Gönderildi : 12/01/2016 16:33

(@ugurdemir)
Gönderiler: 9886
Illustrious Member
 

Selamlar,

Ssh yerine fail2ban kullanabilirsiniz.Fail2ban, sunucunuzun log dosyalarını takip ederek, sizin belirlediginiz bir sayının üzerinde başarısız login girişimininde bulunan birinin IP adresini gene sizin belirlediğiniz bir süre boyunca reject etmeye yarayan güzel bir python uygulamasıdır.

Kolay gelsin.

 
Gönderildi : 29/01/2016 00:28

(@ozgurmazlum)
Gönderiler: 2208
Illustrious Member
 

SSH portunuza sadece kendi ip adresiniz için erişim verip bunun haricindekileri engellemeniz gerek ssh conf ta böyle bir tanımlama yapılabiliyor.

 
Gönderildi : 29/01/2016 11:26

Paylaş: