Discussione:
creare black list oppure bloccare accessi
(troppo vecchio per rispondere)
Ammammata
2012-02-15 11:26:07 UTC
Permalink
Raw Message
Ho ereditato una macchina Windows 2000 Server che dal più di dieci anni fa
il suo dovere (FTP e tunnelling per assistenza remota)

noto nei log che c'è lo zombie di turno che tenta di accedere con attacchi
brute force, destinati a fallire in quanto utente e password sono un vomito
di lettere grandi e piccole, cifre e segnacci vari

ecco qualche estratto:

#Date: 2012-02-06 00:00:00
#Fields: time c-ip cs-method cs-uri-stem sc-status
00:00:00 173.83.247.198 [656]PASS - 530
00:00:00 173.83.247.198 [656]USER user 331
00:00:00 61.255.229.2 [653]PASS - 530
00:00:00 202.103.95.204 [654]USER mail 331
00:00:00 173.83.247.198 [656]PASS - 530
00:00:00 173.83.247.198 [656]USER user 331
00:00:00 173.83.247.198 [656]PASS - 530
00:00:00 61.255.229.2 [653]USER croach 331
00:00:00 202.103.95.204 [654]PASS - 530

o anche:

00:00:00 61.255.229.2 [594]PASS - 530
00:00:00 61.255.229.2 [595]PASS - 530
00:00:00 61.255.229.2 [594]USER bella 331
00:00:00 61.255.229.2 [595]USER info 331

06:29:25 212.92.23.168 [735]USER root 331
06:29:25 212.92.23.168 [735]PASS - 530

eccetera

c'è modo di bloccare (agendo sul server) questi IP (di cui ne ho una vasta
collezione) per un certo periodo di tempo se sbagliano l'accesso più di due
volte? diciamo che vorrei tagliarli fuori per almeno un'ora
--
/-\ /\/\ /\/\ /-\ /\/\ /\/\ /-\ T /-\
-=- -=- -=- -=- -=- -=- -=- -=- - -=-
http://www.bb2002.it :) <<<<<
........... [ al lavoro ] ...........
Andrea P.
2012-02-15 12:37:09 UTC
Permalink
Raw Message
Post by Ammammata
Ho ereditato una macchina Windows 2000 Server che dal più di dieci anni fa
il suo dovere (FTP e tunnelling per assistenza remota)
noto nei log che c'è lo zombie di turno che tenta di accedere con attacchi
brute force, destinati a fallire in quanto utente e password sono un vomito
di lettere grandi e piccole, cifre e segnacci vari
#Date: 2012-02-06 00:00:00
#Fields: time c-ip cs-method cs-uri-stem sc-status
00:00:00 173.83.247.198 [656]PASS - 530
00:00:00 173.83.247.198 [656]USER user 331
00:00:00 61.255.229.2 [653]PASS - 530
00:00:00 202.103.95.204 [654]USER mail 331
00:00:00 173.83.247.198 [656]PASS - 530
00:00:00 173.83.247.198 [656]USER user 331
00:00:00 173.83.247.198 [656]PASS - 530
00:00:00 61.255.229.2 [653]USER croach 331
00:00:00 202.103.95.204 [654]PASS - 530
00:00:00 61.255.229.2 [594]PASS - 530
00:00:00 61.255.229.2 [595]PASS - 530
00:00:00 61.255.229.2 [594]USER bella 331
00:00:00 61.255.229.2 [595]USER info 331
06:29:25 212.92.23.168 [735]USER root 331
06:29:25 212.92.23.168 [735]PASS - 530
eccetera
c'è modo di bloccare (agendo sul server) questi IP (di cui ne ho una vasta
collezione) per un certo periodo di tempo se sbagliano l'accesso più di due
volte? diciamo che vorrei tagliarli fuori per almeno un'ora
Ciao
il problema è che cambiano di continuo e quindi l'unica cosa che
potresti fare sarebbe costruirti un automatismo basato sul tuo software
FTP. Tempo fa ero riuscito a fare una cosa simile per FILEZILLA Server,
in pratica leggevo quando volte un IP (nel log) aveva tentato come
administrator o root e lo bloccavo....ma era tutto un VBS fatto in casa.
Saluti
--
http://www.winserver.it
Ammammata
2012-02-15 13:06:23 UTC
Permalink
Raw Message
Il giorno Wed 15 Feb 2012 01:37:09p, *Andrea P.* inviava su
Post by Andrea P.
il problema è che cambiano di continuo e quindi l'unica cosa che
potresti fare sarebbe costruirti un automatismo basato sul tuo software
FTP
in effetti io vorrei bloccare l'ip, non l'utente
mah, provo a ravanare nella kb di iis
--
/-\ /\/\ /\/\ /-\ /\/\ /\/\ /-\ T /-\
-=- -=- -=- -=- -=- -=- -=- -=- - -=-
Post by Andrea P.
http://www.bb2002.it :) <<<<<
........... [ al lavoro ] ...........
Andry79fi
2012-02-15 13:26:31 UTC
Permalink
Raw Message
Post by Ammammata
Il giorno Wed 15 Feb 2012 01:37:09p, *Andrea P.* inviava su
Post by Andrea P.
il problema è che cambiano di continuo e quindi l'unica cosa che
potresti fare sarebbe costruirti un automatismo basato sul tuo software
FTP
in effetti io vorrei bloccare l'ip, non l'utente
mah, provo a ravanare nella kb di iis
IIS non ha niente per bloccare "in autonomia"
Devi inserirli MANUALMENTE
--
http://www.winserver.it
Loading...