Gelegentlich wird ein VPS unter meiner Kontrolle mit POP3-Anmeldeversuchen bombardiert. Sie schlagen alle fehl, aber die große Anzahl der gestarteten Prozesse und aktiven Verbindungen kommt praktisch einem DoS-Angriff gleich.
Wenn ich so etwas bemerke, greife ich normalerweise ein und blockiere die betreffende IP-Adresse manuell in iptables.Was ich möchtebesteht darin, einen Prozess auf dem Server laufen zu lassen, der das Systemprotokoll (oder einen anderen geeigneten Ort) überwacht und, falls es wiederholte Protokolleinträge gibt, die einem bestimmten Muster entsprechen, diese an einen Befehl weiterleitet, der dann den relevanten Teil extrahiert (in diesem Fall die IP-Adresse des Remote-Hosts) und einen Befehl ausführt (um iptables eine DROP-Regel hinzuzufügen).Zum Beispiel, tun Sie dies, wenn Protokolleinträge mit demselben Nachrichtenteil fünfmal innerhalb einer Minute protokolliert werden.
Der VPS führt syslog-ng aus, falls das hilft. Ich habe eine Ratenbegrenzung in iptables eingerichtet, die etwas hilft, aber sicherlich nicht perfekt ist, da sie meine eigenen Verbindungsversuche genauso blockiert wie die eines Angreifers (es ist reine Glückssache, wer eine Verbindung zustande bringt). Da die Clients, die eine Verbindung herstellen sollen, IP-Adressen aus dynamischen Blöcken haben, ist es schwierig, einfach eine Override-Regel ohne Ratenbegrenzung hinzuzufügen.
Da der VPS auf Virtuozzo läuft, kann ich zwar Root-Zugriff auf den Gast haben, aber keine benutzerdefinierten Kernelmodule oder einen benutzerdefinierten Kernel laden. Dies muss also im Benutzerbereich erfolgen.
Welche Software hilft mir?
Antwort1
Ich würde empfehlenFehler2Ban.
Fail2ban ist eine Software, die Logs auf Brute-Force-Anmeldeversuche überwacht. Wenn sie einen solchen Versuch erkennt, blockiert sie die IP des Angreifers über iptables. Nach Ablauf einer ausreichenden Zeitspanne hebt Fail2ban die Blockierung automatisch auf.
Fail2ban ist anpassbar und kann mit nahezu jedem Internet-Service-Daemon verwendet werden. Es gibt sogar spezielle Dokumentation für Pop3-Daemons wieKurier,Taubenschlag, Undqmail.
Antwort2
Ich verwende OSSEC (http://www.ossec.net/). Es führt Protokollanalysen durch, bietet aber auch aktive Antwortoptionen (Hinzufügen und Entfernen von iptables- und hosts.deny-Einträgen im laufenden Betrieb) mit minimalem Setup. Es hat mehrere Standardregeln, aber Sie können Ihre eigenen hinzufügen. Ich habe es getestet und verwende es in der Produktion mit CentOS-, Ubuntu- und Slackware-Maschinen (sowohl physisch als auch VPS).
Die Installation ist sehr einfach (das Feintuning, vor allem das Konfigurieren, um bestimmte Regeln zu ignorieren, nimmt mehr Zeit in Anspruch). Wenn Sie es verwenden und die Active Response-Funktionen aktivieren, sind die Standardeinstellungen normalerweise gut genug.
Ich würde vorschlagen, die Standard-Blockierungszeit (ein paar Minuten) beizubehalten und eine Whitelist mit Ihrer IP hinzuzufügen (oder der IP eines anderen Servers, dem Sie vertrauen, nur für den Fall, dass Ihre IP nicht statisch ist und der Server Sie blockiert).
Wenn Sie eine komplexere Sperrverwaltung benötigen, können Sie OSSEC außerdem so konfigurieren, dass es vor der eigentlichen aktiven Sperrung beispielsweise ein Bash-Skript zum Überprüfen und Verarbeiten der IP-Adresse verwendet.