Detectar cuando hago un ataque de fuerza bruta y bloqueo la conexión

Question

Detectar cuando hago un ataque de fuerza bruta y bloqueo la conexión

#1 de Rоry McCune (3 votos)
#2 de Marcos Valle (0 votos)

5

Mi servidor (Ubuntu + LAMP) está infectado, ya que recibo alertas de seguridad de los sitios atacados desde mi IP.

su servidor / cliente con la IP: ********** ha atacado a uno de nuestros servidores / socios. Los atacantes utilizaron el método / servicio: bruteforcelogin en: * Sat, ** *** 2015 17:15:17 + 0200 *. El tiempo que se indica es del tiempo del servidor del usuario de la Lista de bloqueo que envió el informe. El ataque se informó al sistema Blocklist.de el: * sábado ** **** 2015 21:27:10 + 0200 *

¿Existe alguna herramienta o método para detectar si hago un ataque y para bloquear las conexiones salientes? ¿O recibir al menos una alerta?

brute-force webserver ubuntu

pregunta Marin Binzari 28.07.2015 - 13:42

fuente

2 respuestas

Lea otras preguntas en las etiquetas brute-force webserver ubuntu

¿Cuál es la actitud de los proveedores de antivirus hacia el ransomware? especificación de OpenPGP y ECC

score 3 · Answer 1

Una forma de mitigar este problema sería implementar el filtrado de egreso en su red. Por ejemplo, la mayoría de los servidores web no deben tener ningún requisito para realizar conexiones a los puertos SSH de hosts arbitrarios en Internet, por lo que si bloquea este tráfico en el firewall, sus sistemas serán menos útiles para los atacantes

Esto también puede ayudar a reducir el riesgo de compromiso en primer lugar, ya que el filtrado de egreso puede dificultar el establecimiento del control activo de sus sistemas (no es imposible, pero eleva un poco la barra).

Si desea ir por la ruta de detección, se puede utilizar un sistema de detección de intrusos en la red (por ejemplo, snort ) para alertar sobre situaciones inusuales. Patrones de tráfico como ataques de fuerza bruta.

score 0 · Answer 2

Fail2ban es una herramienta interesante para eso. De la página wiki oficial 1 :

Fail2ban analiza los archivos de registro (por ejemplo, / var / log / apache / error_log) y prohíbe las IP que muestran los signos maliciosos - demasiadas fallas de contraseña, buscando para exploits, etc. Generalmente Fail2Ban se usa para actualizar el firewall reglas para rechazar las direcciones IP por un período de tiempo específico, aunque cualquier otra acción arbitraria (por ejemplo, enviar un correo electrónico) también podría estar configurado Fuera de la caja Fail2Ban viene con filtros para varios servicios (apache, courier, ssh, etc).