Journal : Des scans SSH? Un script qui permet l'émission automatique de plaintes.
Posté par rdem (page perso, ) le 01 juillet 2008
0
Cher lecteur;Qui parmi vous n'a jamais pesté contre les grand méchant vilains qui ne cessent de scanner votre machine, et de tenter des brute force sur votre SSH?
Qui n'a jamais eu envie d'envoyer des plaintes, mais par manque de temps (il faut analyser les logs, rédiger un mail, l'envoyer) n'en a rien fait?
Je viens de pondre un script pour moi, mais vu qu'il ne fonctionne pas trop mal, je le met à disposition de tout le monde.
http://www.demongeot.biz/outils/SendAutomaticAbuse.html
Seul point négatif, le script nécessite une liste d'IP, ListeIP.dat que je ne communique pas, par doute sur la légalité de cela.
Ce fichier contiens les blocs IPs puis l'adresse mail à qui il faut envoyer l'abuse.
Le format est donc :
127.0.0.0 127.255.255.255 mon@adresse.mail
Il faut bien entendu une ligne par bloc IP.
Si l'IP est contenue dans un bloc du fichier, la plainte part. Sinon, vous recevez un récapitulatif des IPs inconnues, pour que vous puissiez les ajouter.
Voila :)
> Lire le journal (48 commentaires, moyenne: 3,4).
Vous avez demandé le commentaire #946065.
Run by 
Cette page a été générée par Templeet en 0.0454s (dont 0.0047 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Avec iptables
Perso, je préfère utiliser iptables, ça rends le scan peu rentable :
# SSH : allow four connections attempts per minutes max. Drop the rest.
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j LogDrop
iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
Dans certains pays, il arrive malheureusement que les mails soient simplement ignorés. Il arrive aussi que la personne qui gère le serveur soit la même que celle qui lance un scan SSH.