Гость
Войти | Профиль | Очистить
Целевая тема:
Создать новую тему:
Автор:
Действия ...
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Впечатляет? / 8 сообщений из 8, страница 1 из 1
14.12.2005, 20:38:11
    #33436706
lissyara
lissyara
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Впечатляет?
тут дауны мой сервак мучали.....
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
ls -lh | grep  13 - 12 -2005_auth
-rw-r--r--  1 root  wheel       424M Dec 13 23:55 13-12-2005_auth

cat  13 - 12 -2005_auth | grep "Failed password" | wc -l
  2215584 

cat  13 - 12 -2005_auth | grep "Failed password" | awk '{print $11}' | sort | uniq | wc -l
     2275  (уникальных имён пользователей)
cat  13 - 12 -2005_auth | grep "Failed password" | awk '{print $13}' | sort | uniq -c | sort | more
  288   210 . 70 . 26 . 75 
  288   213 . 171 . 194 . 205 
  288   83 . 175 . 213 . 242 
  864   218 . 85 . 119 . 83 
  864   219 . 239 . 35 . 190 
 131328   194 . 237 . 166 . 218 
 1440   218 . 107 . 133 . 69 
 2304   83 . 142 . 26 . 218 
 237888   66 . 227 . 33 . 169 
 30816   61 . 220 . 186 . 244 
 333504   24 . 9 . 46 . 4 
 365184   194 . 100 . 98 . 231 
 36576   83 . 18 . 149 . 30 
 374976   65 . 126 . 255 . 194 
 48384   143 . 225 . 229 . 152 
 48384   193 . 83 . 96 . 30 
 487008   212 . 67 . 209 . 108 
 49536   65 . 164 . 58 . 2 
 65664   67 . 8 . 154 . 62
Словарики-то у молодёжи растут, вот чего беспокоить... И ломятся, толи кучей, толи через прокси...

три дня долбились (это лог одного дня, за другие не намного меньше размером - от 230 мег и выше), на четвёртый кончилось место в /var.... лёг mysql и я это дело заметил...
Posted via ActualForum NNTP Server 1.3
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
14.12.2005, 23:24:49
    #33436896
Alex Roudnev
Alex Roudnev
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Впечатляет?
Ты неверно поступаешь. Сделай им песочницу за загородочкой и пусти туда поиграться... А сам понаблюдаешь, что за детки и какие куличики строят -:)

А то - не пущу, не пущу... Несолидно это - не пускать. Просятся - надо пустить!




lissyaraтут дауны мой сервак мучали.....
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
ls -lh | grep  13 - 12 -2005_auth
-rw-r--r--  1 root  wheel       424M Dec 13 23:55 13-12-2005_auth

cat  13 - 12 -2005_auth | grep "Failed password" | wc -l
  2215584 

cat  13 - 12 -2005_auth | grep "Failed password" | awk '{print $11}' | sort | uniq | wc -l
     2275  (уникальных имён пользователей)
cat  13 - 12 -2005_auth | grep "Failed password" | awk '{print $13}' | sort | uniq -c | sort | more
  288   210 . 70 . 26 . 75 
  288   213 . 171 . 194 . 205 
  288   83 . 175 . 213 . 242 
  864   218 . 85 . 119 . 83 
  864   219 . 239 . 35 . 190 
 131328   194 . 237 . 166 . 218 
 1440   218 . 107 . 133 . 69 
 2304   83 . 142 . 26 . 218 
 237888   66 . 227 . 33 . 169 
 30816   61 . 220 . 1 


 86 . 244 
 333504   24 . 9 . 46 . 4 
 365184   194 . 100 . 98 . 231 
 36576   83 . 18 . 149 . 30 
 374976   65 . 126 . 255 . 194 
 48384   143 . 225 . 229 . 152 
 48384   193 . 83 . 96 . 30 
 487008   212 . 67 . 209 . 108 
 49536   65 . 164 . 58 . 2 
 65664   67 . 8 . 154 . 62
Словарики-то у молодёжи растут, вот чего беспокоить... И ломятся, толи кучей, толи через прокси...

три дня долбились (это лог одного дня, за другие не намного меньше размером - от 230 мег и выше), на четвёртый кончилось место в /var.... лёг mysql и я это дело заметил...
Posted via ActualForum NNTP Server 1.3
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
14.12.2005, 23:26:09
    #33436897
Alex Roudnev
Alex Roudnev
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Впечатляет?
Еше не плохо сделать, чтобы их дауновский автомат всегда получал ответ _все нормально, доступ есть_. И пусть у них там логи пухнут, а не у вас.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
14.12.2005, 23:32:01
    #33436903
Alex Roudnev
Alex Roudnev
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Впечатляет?
Alex RoudnevЕше не плохо сделать, чтобы их дауновский автомат всегда получал ответ _все нормально, доступ есть_. И пусть у них там логи пухнут, а не у вас.

shell

#!/bin/sh
sleep 10
echo Last login: 12 December 2003
sleep 10
echo "Welcome to the Disney Paradise"
sleep 10
i=0
echo "Durak here. `date` $LOGIN" >> /tmp/durak.log
while [ $i -lt 10 ]
do
echo -n "$ "
read x
echo $x >> /tmp/durak.log
sleep 10
echo "No more memory"
sleep 10
i=`exp $i + 1`
done
sleep 10
echo "Durak end. `date` $LOGIN" >> /tmp/durak.log
exec false

(ну примерно, фантазировать тут можно до посинения).
и делаешь с десяток пользователей с паролями по ихнему словарику, каждому даешь подобный шелл, и пусть детки развлекаются... Гарантирую, что они внесут твой IP в свой черный список и ломать перестанут (по крайней мере этой фигней).
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
14.12.2005, 23:40:16
    #33436910
lissyara
lissyara
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Впечатляет?
2 Alex Roudnev

Клёво! А мне такие идеи в голову не приходили...
Максимум до чего додумался (причём давно - а тут сам виноват, на этом серваке ошибся в орфографии просто) - логи проверять раз в 10 минут - если больше 10 `failed` с одного IP - то:
ipfw add 1 deny ip from ${IP} to me

====================
Код: plaintext
echo "Welcome to the Disney Paradise"
- класс!!!!
Posted via ActualForum NNTP Server 1.3
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.12.2005, 00:14:39
    #33436926
--null--
--null--
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Впечатляет?
кажется , это называется "honey net"
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.12.2005, 13:40:28
    #33438028
Pavel Kilevatyh
Pavel Kilevatyh
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Впечатляет?
lissyara2 Alex Roudnev

Клёво! А мне такие идеи в голову не приходили...
Максимум до чего додумался (причём давно - а тут сам виноват, на этом серваке ошибся в орфографии просто) - логи проверять раз в 10 минут - если больше 10 `failed` с одного IP - то:
ipfw add 1 deny ip from ${IP} to me

====================
Код: plaintext
echo "Welcome to the Disney Paradise"
- класс!!!!
Posted via ActualForum NNTP Server 1.3

Тоже вариант, но пихать в ядро правило для каждого дауна - излишество ИМХО.
Есть вариант питоновского анализатора логов, который пишет список в /etc/hosts.deny.
Зовется скрипт denyhosts.py. У меня пускается по крону раз в 10 минут.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.12.2005, 13:51:08
    #33438068
lissyara
lissyara
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Впечатляет?
их немного за сутки, обычно. 5-10 даунов...
в 2 ночи правила сбрасываются эти и всё заново.


Posted via ActualForum NNTP Server 1.3
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Впечатляет? / 8 сообщений из 8, страница 1 из 1
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение  
Полит. конфиден.  
созд. / загр.: 276ms
Закрыть
start [/forum/topic.php?fid=25&mobile=1&tid=1489954]:
 0ms
get settings:
 7ms
get forum list:
 9ms
check forum access:
 2ms
check topic access:
 2ms
track hit:
 20ms
get topic data:
 7ms
get forum data:
 1ms
get page messages:
 25ms
get tp. blocked users:
 1ms
others: 202ms
total:  276ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]