De vez en cuando, un VPS bajo mi control es bombardeado con intentos de inicio de sesión POP3. Todos fallan, pero la gran cantidad de procesos generados y conexiones activas equivalen prácticamente a un ataque DoS.
Cuando veo que eso sucede, normalmente entro y bloqueo manualmente la dirección IP infractora en iptables.lo que me gustariaes tener un proceso ejecutándose en el servidor monitoreando el registro del sistema (o algún otro lugar apropiado) y, si hay entradas de registro repetidas que coincidan con un patrón particular, pasarlas a un comando que luego extraerá la parte relevante (la dirección IP del host remoto). dirección, en este caso) y ejecutar un comando (para agregar una regla DROP a iptables).Por ejemplo, hágalo si las entradas de registro con la misma parte del mensaje se registran cinco veces en un minuto.
El VPS ejecuta syslog-ng en caso de que eso ayude. He configurado una limitación de velocidad en iptables, lo que ayuda un poco, pero ciertamente no es perfecto, ya que bloquea mis propios intentos de conexión tanto como los de un atacante (quien consigue una conexión establecida se convierte en suerte). Dado que los clientes que se supone deben conectarse tienen direcciones IP de bloques dinámicos, es difícil simplemente agregar una regla de anulación sin limitar la velocidad.
Dado que el VPS se ejecuta en Virtuozzo, aunque tengo acceso root al invitado, no puedo cargar módulos de kernel personalizados o un kernel personalizado. Por tanto, debe hacerse en el espacio de usuario.
¿Qué software me ayudará?
Respuesta1
Yo lo recomiendofalla2ban.
Fail2ban es un software diseñado para monitorear registros en busca de intentos de inicio de sesión por fuerza bruta. Cuando ve tal intento, bloquea la IP del atacante a través de iptables. Después de que haya pasado un tiempo suficiente, fail2ban eliminará automáticamente el bloqueo.
Fail2ban es personalizable y puede funcionar con casi cualquier tipo de demonio de servicio de Internet. Incluso hay documentación específica para demonios pop3 comomensajero,palomar, ycorreo q.
Respuesta2
Yo uso OSSEC (http://www.ossec.net/). Realiza análisis de registros pero también tiene opciones de respuesta activa (agregar y eliminar entradas de iptables y hosts.deny sobre la marcha) con una configuración mínima. Tiene varias reglas predeterminadas pero puedes agregar las tuyas propias. Lo he probado y lo uso en producción con máquinas CentOS, Ubuntu y Slackware (tanto físicas como VPS).
La instalación es muy fácil (ajustarlo, principalmente configurarlo para ignorar algunas reglas, es lo que lleva más tiempo). Si lo usa y habilita las funciones de respuesta activa, los valores predeterminados suelen ser lo suficientemente buenos.
Sugeriría dejar el tiempo de bloqueo predeterminado (unos minutos), agregar una lista blanca con su IP (o la IP de otro servidor en el que confíe, en caso de que su IP no sea estática y el servidor lo bloquee).
Además, si necesita una administración de bloqueo más compleja, puede configurar OSSEC para usar un script bash (por ejemplo) para verificar y manejar la dirección IP antes de realizar el bloqueo activo real.