Hallo !

Ich würde gerne mit Ossec bei Bruteforce angriffen die IP über iptables blocken. Ossec hat für einige Vorgänge solch einen "Schutz", nur bei FTP greift er nicht. Weis jemand, wie ich die Option aktivieren kann ?

Ich habe jetzt schon einige Stunden bei Google recht wirre Diskussionen gefunden, aber keine "richtige" Anleitung.

Gruß
Exe

Was sind die Fehlermeldungen?

Hi !

Ossec registriert die Zugriffe z.B. als :
"Attempt to login using a non-existent user."
"Multiple failed login attempts."

Das hatte ich diese Nacht wieder mal extrem. Ersteres wurde rund 100.000 mal gecounted. Ich würde dort gerne per iptables automatisch ein drop auf die IP setzen.

Ok, ich habe das Problem selbst gelöst.

Man muss nur das Alert-Level in der jeweiligen FTP-Rule erhöhen und schon greift dei Logik.

Ich habe z.B. das Login bei einem nicht existierenden User auf einen Alert-Level "7" gesetzt und nach der dritten fehlerhaften Anmeldung, wird die IP per IPTables geblockt.

Dass das nicht standardmäßig aktiviert ist *nene*