hallo,

bei mir versuchen immer leute mittels wörterbuch ins system einzudringen.:

Dec 16 16:38:28 noname sshd[27225]: Failed password for illegal user cip52 from ::ffff:210.60.253.13 port 3816 ssh2
Dec 16 16:38:30 noname sshd[27227]: Failed password for illegal user cip51 from ::ffff:210.60.253.13 port 3897 ssh2
Dec 16 16:38:33 noname sshd[27229]: Failed password for root from ::ffff:210.60.253.13 port 3969 ssh2
Dec 16 16:38:36 noname sshd[27231]: Failed password for illegal user noc from ::ffff:210.60.253.13 port 4048 ssh2
Dec 16 16:38:39 noname sshd[27233]: Failed password for root from ::ffff:210.60.253.13 port 4126 ssh2
Dec 16 16:38:41 noname sshd[27235]: Failed password for root from ::ffff:210.60.253.13 port 4207 ssh2
Dec 16 16:38:44 noname sshd[27237]: Failed password for root from ::ffff:210.60.253.13 port 4281 ssh2
Dec 16 16:38:47 noname sshd[27240]: Failed password for root from ::ffff:210.60.253.13 port 4355 ssh2
Dec 16 16:38:49 noname sshd[27242]: Failed password for illegal user webmaster from ::ffff:210.60.253.13 port 4438 ssh2

git es ein programm, mit dem ich das auflösen des namens, whois und feststellen woher der kommt automatisieren kann? um dann die übliche mail an abuse@provider.woauchimmer abzusetzen? er soll die mail nicht automatisch schicken, will ja nicht rumspamen. aber es soweit vorbereiten und die mail meinetwegen an mich schicken und ich leite sie dann weiter.

hat jemand eine idee wie man das anstellen könnte?

bis denne

Wenn's nicht ein ausgewachsenes IDS sein soll:
swatch: ein leichtgewichtiges aber flexibles Tool in Perl (deb-Paket):

Description: Log file viewer with regexp matching, highlighting, & hooks
Swatch is designed to monitor system activity. It reads a configuration
file which contains pattern(s) to look for and action(s) to perform when
each pattern is found.

A typical action is echoing the matched line in a variety of colours and
formats including reverse video, bold, underline, and normal, which swatch
knows how to do internally. Other actions include sending mail or
executing an arbitrary program on the line.
Swatch is written in Perl and uses Perl regular expressions for line matching.
Die Doku/Beispiele enthält Filter zum verschicken von Mails, Erkennen von
gescheiterten Logins, e.t.c

So einfach wird eine solche Regel definiert:

# Alert me of bad login attempts and find out who is on that system
watchfor /INVALID|REPEATED|INCOMPLETE/
echo inverse
bell 3

Die Perl-Modulfamilie Log::Agent bietet auch einige Möglichkeiten...
HTH
Wolfgang

moin, moin,

schau ich mir heute abend gleich mal an.

aber was ist ein IDS?

bis denne

Intrusion Detection System = Einbruchs Erkennung

z.B. Snort