Hallo,

hat jemand Erfahrungen mit dem Python-Script blockhosts?

Ich habe einen FTP Server laufen und da versucht jemand jede Sekunde sich mit Admin anzumelden. Mit blockhosts versuche ich nun automatisch einen block in die hosts.allow schreiben zu lassen.

mein Problem ist, dass es gut bei login-Fehler von ssh klappt.. aber bei proftp wir d die Zeile


USER Administrator: no such user found from 121.12.114.6 [121.12.114.6]

nicht eingetragen obwohl es genau diese Zeile die mich nervt.

Hat jemand von Euch Erfahrungen damit? Oder gibt es etwas anders was die gleiche Aufgabe erledigt?!

blockhosts kenne ich nicht.

fail2ban kann das auch und man kann Reguläre Ausdrücke konfigurieren, um das zu machen. So kann man es an fast alle Log-Formate anpassen.

PS: Tatsache ist aber, dass durch solche Scripte noch eine zusätzliche Schwachstelle entstehen kann, da sie oft als root laufen, Befehle ausführen und dabei Parameter aus den fehlgeschlagenen Logins verwenden. Ein entfernter Angreifer kann also versuchen dort Code einzuschleusen.

hm,

gibt es dann einen "goldenen" Weg?

Nee, man muss eigentl. immer durch knietiefe Exkremente waten.

Du kannst:
Die Bots ignorieren und regelmäßig die Passwörter ändern, in der Hoffnung, sie erraten es so nie und beim ausweten evtl. noch filtern.
Den Port verschieben, auf einen, auf dem seltener von Bots gesucht wird, aber dann muss man den immer extra angeben, wenn man sich einloggen will. Dafür hat man wenig Rauschen in den Logs.
Port-Knocking benutzen, aber das ist noch viel nerviger beim Einloggen...
Das doofe Internetz mit einem dicken EMP (von Orbitalwaffenplattformen aus) kaputtmachen