Rileva quando eseguo un attacco di forza bruta e blocco la connessione

Question

Rileva quando eseguo un attacco di forza bruta e blocco la connessione

#1 da (3 voti)
#2 da (0 voti)

5

Il mio server (Ubuntu + LAMP) è infetto, poiché ricevo avvisi di sicurezza dai siti attaccati dal mio IP.

your Server/Customer with the IP: ********** has attacked one of our servers/partners. The attackers used the method/service: bruteforcelogin on: *Sat, ** *** 2015 17:15:17 +0200*. The time listed is from the server-time of the Blocklist-user who submitted the report. The attack was reported to the Blocklist.de-System on: *Sat, ** **** 2015 21:27:10 +0200*

C'è uno strumento o un metodo per rilevare se faccio un attacco e per bloccare le connessioni in uscita ad esso? O ricevere almeno un avviso?

ubuntu webserver brute-force

posta Marin Binzari 28.07.2015 - 13:42

fonte

2 risposte

Leggi altre domande sui tag ubuntu webserver brute-force

Qual è l'atteggiamento dei venditori di anti-virus nei confronti del ransomware? Keepass - Ago in una pila di aghi

score 3 · Answer 1

Un modo per mitigare questo problema sarebbe implementare il filtraggio in uscita sulla tua rete. Ad esempio, la maggior parte dei server web non dovrebbe avere l'obbligo di effettuare connessioni alle porte SSH di host arbitrari su Internet, quindi se blocchi questo traffico sul firewall i tuoi sistemi diventano meno utili per gli attaccanti

Anche questo può aiutare a ridurre il rischio di compromissione, in primo luogo, poiché il filtraggio in uscita può rendere più difficile il controllo attivo dei sistemi (non impossibile, ma alza leggermente la barra).

Se vuoi seguire il percorso di rilevamento, un sistema di rilevamento delle intrusioni di rete (ad es. snort ) potrebbe essere usato per avvisare su cose insolite schemi di traffico come attacchi a forza bruta.

score 0 · Answer 2

Fail2ban è uno strumento interessante per questo. Dalla pagina wiki ufficiale 1 :

Fail2ban scans log files (e.g. /var/log/apache/error_log) and bans IPs that show the malicious signs -- too many password failures, seeking for exploits, etc. Generally Fail2Ban is then used to update firewall rules to reject the IP addresses for a specified amount of time, although any arbitrary other action (e.g. sending an email) could also be configured. Out of the box Fail2Ban comes with filters for various services (apache, courier, ssh, etc).