Automatiskt rapport till ISP vid bruteforce-attack via SSH  

Postat av rancor under ,

Om du använder SSH och samtidigt tillåter att hela Internet får ansluta till din maskin så har du garanterat sett hur många intrångsförsök det sker. Detta är oftast inte manuella intrång utan sådana som är automatiserade via script/botnets och oftast vet inte ägaren till maskinen om detta.

denyhosts har jag skrivit om en del och det går att bygga ut systemet ytterligare via ett plugin som heter report-hack-isp och som du kan ladda ner här: http://wiki.github.com/nazar/report-hack-isp/

Detta script plockar enkelt beskrivet ut IP-adressen samtidigt som den blir blockerad av denyhosts och gör uppslag på IP/värdnamnet med whois för att plocka ut e-postadressen till abuse och skickar ett e-postmeddelande dit med ett meddelande om vad som hänt med tillhörande logg.

För att installerade detta under Ubuntu behövs ruby och whois installeras utöver en normal installation samt eventuellt sendmail eller liknande om e-postserver saknas.

// rancor

0 kommentarer

Skicka en kommentar