सिगविन एसएसएचडी ऑटोब्लॉक फेलिंस लॉगिंस


20

मैं एक SSH बधिर के साथ एक Windows Server 2008 मशीन पर Cygwin चला रहा हूं। मैं इवेंट व्यूअर को देख रहा था और पिछले सप्ताह या तो, अलग-अलग आईपी से 5 से 6 असफल लॉगिन प्रयास प्रति सेकंड (क्रूर बल) के रूप में देखा।

मैं मैन्युअल रूप से एक-एक करके उन्हें अवरुद्ध करने के बजाय इन आईपी को ऑटोब्लॉक कैसे कर सकता हूं?

धन्यवाद, अहमद

जवाबों:


34

मैंने आईपी पते को ब्लॉक करने के लिए एक कार्यक्रम लिखा था जैसे कि आप कुछ साल पहले पूछ रहे हैं, लेकिन क्या यह एक ग्राहक के लिए काम के लिए किराए पर लिया है। चूंकि मैंने इस शाम को कुछ "अतिरिक्त" समय के साथ समाप्त किया, इसलिए मैंने जमीन से पूरी चीज को फिर से लागू करने का विकल्प चुना, कुछ उपयोगी दस्तावेज लिखे, और आम तौर पर इसे एक प्रस्तुत करने योग्य कार्यक्रम बनाया। जब से मैंने कई लोगों से सुना है कि यह एक आसान बात होगी तो ऐसा लगता है कि यह शायद समय के लायक है। उम्मीद है कि आप और समुदाय के अन्य सदस्य, इसका कुछ उपयोग कर सकते हैं।


विंडोज sshd_block

sshd_block एक VBScript प्रोग्राम है जो Windows इवेंट लॉग प्रविष्टियों को sshd द्वारा लॉग इन करने के लिए WMI इवेंट सिंक के रूप में कार्य करता है। यह इन लॉग प्रविष्टियों को पार्स करता है और निम्नानुसार उन पर कार्य करता है:

  • यदि IP पता उपयोगकर्ता नाम के साथ लॉगऑन करने का प्रयास करता है, तो "तुरंत प्रतिबंध" के रूप में चिह्नित किया जाता है, तो आईपी पते पर तुरंत प्रतिबंध लगा दिया जाता है।

  • यदि किसी निश्चित समय अवधि में IP पते को लॉगऑन करने की कोशिश की जाती है, तो निश्चित समय अवधि में IP पते पर प्रतिबंध लगा दिया जाता है।

स्क्रिप्ट के "कॉन्फ़िगरेशन" अनुभाग में "लॉग तुरंत" उपयोगकर्ता नाम और बार-बार लॉगऑन प्रयासों से जुड़े थ्रेसहोल्ड कॉन्फ़िगर करने योग्य हैं। डिफ़ॉल्ट सेटिंग्स निम्नानुसार हैं:

  • प्रतिबंध तुरंत उपयोगकर्ता नाम - व्यवस्थापक, रूट, अतिथि
  • लॉगऑन प्रयास की अनुमति दी - 120 सेकंड में 5 (2 मिनट)
  • प्रतिबंध की अवधि - 300 सेकंड (5 मिनट)

एक बार एक दूसरे किसी भी आईपी पते पर प्रतिबंध की अवधि के लिए प्रतिबंध लगा दिया गया है (बिना रूट-टेबल से हटाए ब्लैक-होल मार्ग)।


आप यहां सॉफ्टवेयर डाउनलोड कर सकते हैं और यहां आर्काइव ब्राउज़ कर सकते हैं

संपादित करें:

2010-01-20 तक मैंने Windows Vista / 2008/7/2008 R2 पर "उन्नत फ़ायरवॉल" का उपयोग करके समर्थन करने के लिए कोड अपडेट किया है ताकि फ़ायरवॉल नियम बनाकर ट्रैफ़िक की ब्लैक-होल्ड की जा सके (जो कि इसके अनुरूप है "असफल 2बान" का व्यवहार)। मैंने OpenSSH संस्करणों को पकड़ने के लिए कुछ अतिरिक्त मिलान स्ट्रिंग्स भी जोड़े हैं जो "अवैध उपयोगकर्ता" के रूप में "अवैध उपयोगकर्ता" के विपरीत हैं।


2
मैं आपके द्वारा किए गए कार्य की सराहना करता हूं और सोचता हूं कि इसका एक अद्भुत विचार है, हालांकि एक मौका है कि इसे आरडीपी प्रयासों के साथ काम करने के लिए संशोधित किया जा सकता है? मेरे विंडोज़ सर्वर पर लगातार ऑनलाइन हमला किया जा रहा है और खाता लॉकआउट किया जा रहा है, हालांकि अर्ध-जासूसी के लिए उस उपयोगकर्ता को फिर से काम करने के लिए अनलॉक करने की आवश्यकता है, एक और लॉक आउट के लिए उपयोगकर्ता खाते का बैक अप लेना।

@ हेनरी: पर एक नज़र है serverfault.com/a/335976/7200
इवान एंडरसन

यह स्क्रिप्ट मेरे CPU के 10 प्रतिशत से अधिक बेकार है, भले ही कोई क्रूर बल के हमले प्रगति पर न हों ...
jjxtra

@PychoDad: यदि आप रुचि रखते हैं, तो मुझसे संपर्क करें और हम समस्या निवारण करेंगे। मैंने वह व्यवहार नहीं देखा है जो आप देख रहे हैं।
इवान एंडरसन

1
मैं आरडीपी कनेक्शन के लिए भी इसे देखना चाहूंगा। धन्यवाद
बूमहाउर

3

लिनक्स पर denyhosts ट्रिक करता है, खिचड़ी भाषा आपको बताती है कि यह विंडोज / सिगविन पर काम करेगा या नहीं। कोशिश करो।


2

यह एक बहुत ही दिलचस्प है, हम वर्तमान में इस समाधान का मूल्यांकन कर रहे हैं:

इष्टतम प्रदर्शन पर संभावित खतरों का पता लगाने के लिए Syspeace विंडोज के साथ मिलकर काम करता है। किसी भी संदिग्ध व्यवहार के लिए इवेंट लॉग में घटनाओं की लगातार निगरानी की जाती है। अगर किसी घटना को सिस्टम के लिए खतरा माना जाता है, तो Syspeace एक आंतरिक नियम आधार के खिलाफ जांच करके अगले स्तर पर पहुंचता है जो कि केवल IP एड्रेस को ब्लॉक करता है और नियम को Windows फ़ायरवॉल में जोड़ता है।

स्थानीय श्वेतसूची

एक उपयोगकर्ता हमेशा स्थानीय श्वेतसूची में आईपी पते जोड़ सकता है, उदाहरण के लिए, किसी भी आंतरिक नेटवर्क के अवरोधन को रोकने या अस्थायी रूप से एकल पीसी जोड़ने के लिए। इसका उपयोग सावधानी के साथ किया जाना चाहिए क्योंकि इस सूची में किसी भी आईपी को Syspeace द्वारा भरोसेमंद माना जाता है और इसे हमेशा अनदेखा किया जाएगा।

स्थानीय ब्लैकलिस्ट

Syspeace द्वारा स्वचालित रूप से स्थानीय ब्लैकलिस्ट में किसी भी खतरे को जोड़ा जाएगा। आप हमेशा ब्लैकलिस्ट की समीक्षा कर सकते हैं और उन्हें जोड़ सकते हैं या हटा सकते हैं जैसा कि आप फिट देखते हैं। हमने हालांकि सिफारिश की, कि आप इस सूची में कोई बदलाव न करें क्योंकि आप किसी अज्ञात हैकर के लिए गलती से मार्ग प्रशस्त कर सकते हैं।

ग्लोबल ब्लैकलिस्ट

Syspeace की एक प्रमुख विशेषता यह है कि यह विश्व स्तर पर ब्लैकलिस्ट किए गए IP पतों को पहले से ज्ञात ब्लॉक करने की क्षमता है। इस विकल्प को चुनकर, Syspeace आपके ग्राहक पर ग्लोबल ब्लैकलिस्ट का आयात करेगा और उसके अनुसार कार्य करेगा, एक बटन के पुश पर फ़ायरवॉल के नियमों में सभी वैश्विक रूप से ब्लैकलिस्ट किए गए IP पतों को जोड़ देगा।

संदेश

जब भी कोई महत्वपूर्ण घटना होती है, तो सेवा शुरू या बंद कर दी जाती है, नियमों को फ़ायरवॉल से हटा दिया जाता है या केंद्रीय लाइसेंस और वैश्विक ब्लैकलिस्ट सर्वर में संचार की स्थिति बदल दी जाती है, Syspeace के पास लोगों को मेल भेजने की क्षमता होती है आपका संगठन

रिपोर्ट

महत्वपूर्ण घटना होने पर ईमेल प्राप्त करना अच्छा हो सकता है लेकिन कभी-कभी आप एक सारांश भी प्राप्त करना चाहेंगे। Syspeace आपके सिस्टम पर सभी हमले के प्रयासों के साथ एक दैनिक रिपोर्ट संकलित करता है और आपको सूचना के साथ एक संदेश भेजता है। Syspeace भी इसी तरह एक साप्ताहिक रिपोर्ट संकलित करता है।

www.syspeace.com


2

मेरे सर्वर पर चीन / अमेरिका / भारत से शाब्दिक लॉगिन के सभी प्रयास प्रशासक लॉगिन की कोशिश करते हैं, जिसे मैंने अक्षम कर दिया है।

क्या व्यवस्थापकीय लॉगिन को अक्षम करना आसान नहीं होगा और फिर एक स्क्रिप्ट लिखिए जो उन सभी IP पतों को ब्लॉक करती है जो "एडमिनिस्ट्रेटर" का उपयोग करके उपयोगकर्ता नाम के रूप में लॉगिन करने का प्रयास करते हैं?


1

आपको विंडोज फ़ायरवॉल के साथ गड़बड़ करने की आवश्यकता हो सकती है; Cygwin में इस प्रकार की कार्यक्षमता नहीं होगी।


1

आप SSHBlock - जानवर बल के प्रयासों को नियंत्रित करने के लिए एक पर्ल स्क्रिप्ट का उपयोग करने पर विचार कर सकते हैं ।

SSHBlock SSH का उपयोग करके ब्रेक-इन प्रयासों के लिए एक syslog लॉग की निगरानी करने के लिए, और /etc/hosts.allow (TCP Wrappers) में लाइनों को जोड़कर स्वचालित रूप से खराब मेजबानों को ब्लॉक करने के लिए एक डेमॉन है। कई थ्रेसहोल्ड पूर्व-परिभाषित हैं, जो लंबी या छोटी अवधि में कई प्रयास करने वालों को ब्लॉक करने में सक्षम हैं। कमांड लाइन विकल्प देखने के लिए -h का उपयोग करें।

मैंने इसे अभी तक Cygwin पर इस्तेमाल नहीं किया है।
हालाँकि यहाँ एक अन्य लेख का लिंक दिया गया है जो कुछ अन्य तरीकों से sshblock का वर्णन करता है: brute force ssh attack के
विरुद्ध बचाव

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.