Je suis bombardé de tentatives de piratage en provenance de Chine, toutes avec des adresses IP similaires.
Comment pourrais-je bloquer la plage d'adresses IP avec quelque chose comme 116.10.191.* etc.
Je suis sous Ubuntu Server 13.10.
La ligne actuelle que j'utilise est :
sudo /sbin/iptables -A INPUT -s 116.10.191.207 -j DROPCela ne me permet de bloquer qu'un par un, mais les pirates changent les adresses IP à chaque tentative.
Pour bloquer les adresses 116.10.191.* :
$ sudo iptables -A INPUT -s 116.10.191.0/24 -j DROP
Pour bloquer les adresses 116.10.*.* :
$ sudo iptables -A INPUT -s 116.10.0.0/16 -j DROP
Pour bloquer les adresses 116.*.*.* :
$ sudo iptables -A INPUT -s 116.0.0.0/8 -j DROP
Mais faites attention à ce que vous bloquez en utilisant cette méthode. Vous ne voulez pas empêcher le trafic légitime d'atteindre l'hôte.
edit : comme mentionné, iptables évalue les règles dans l'ordre séquentiel. Les règles les plus hautes dans la pile de règles sont appliquées avant les règles les plus basses. Donc, si une règle plus haute dans votre pile de règles autorise ce trafic, alors l'ajout (iptables -A) de la règle DROP ne produira pas le résultat de blocage voulu. Dans ce cas, insérez (iptables -I) la règle soit :
sudo iptables -I ...
sudo iptables --line-numbers -vnL
disons que cela montre que la règle numéro 3 autorise le trafic ssh et que vous voulez bloquer ssh pour une plage d'adresses IP. -I prend un argument d'un entier qui est l'emplacement dans votre pile de règles où vous voulez insérer la nouvelle règle
iptables -I 2 ...
Vérifiez arin.net et bloquez l'ensemble des plages d'adresses IP appartenant à Amsterdam. Cet endroit est infesté d'araignées sondeuses - je doute qu'il y ait du trafic légitime qui en sorte.
Notez que cela peut ne pas fonctionner en fonction de l'ordre des règles iptables, voir la réponse serverfault.com/a/507502/1
Cela fonctionnera-t-il sur l'ensemble de la plage du 4e ensemble ? Comme 0/24 signifie seulement 0-24. J'ai essayé par exemple 500 mais cela n'a pas fonctionné. Est-ce que 0/24 couvrira tous ces autres nombres dans les centaines et les deux cents ?
@Stephen Il s'agit d'une plage CIDR. Si vous avez besoin de le calculer pour une plage différente, utilisez ceci: subnet-calculator.com/cidr.php
Comme approche alternative, vous pourriez utiliser quelque chose d'aussi simple que fail2ban. Il impose un délai pour les tentatives de connexion infructueuses successives et rend le bruteforcing inapplicable car ils n'ont que quelques chances par délai. J'ai défini la durée de mon délai à 30 minutes. Au bout d'une heure ou deux, ils réalisent qu'ils ne pourront pas progresser et abandonnent.
Je réalise que ce fil de discussion a plus d'un an mais je voulais informer les gens de quelque chose. J'ai fail2ban installé et en cours d'exécution mais je vérifie également régulièrement les journaux de mon serveur. Il y a cette plage d'adresses IP 89.248.x.x qui continue d'essayer différentes connexions par e-mail environ une heure après la dernière tentative, tout au long de la journée. Apparemment, garder le findtime de fail2ban à 30 minutes n'est plus suffisant pour éloigner tous les script kiddies malveillants.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
4 votes
Vous devriez jeter un coup d'œil à fail2ban, il est vraiment efficace pour bannir dynamiquement les adresses IP nuisibles.
0 votes
J'aime aussi ajouter knockd pour éliminer virtuellement 100% des tentatives d'accès échouées de mes journaux. help.ubuntu.com/community/PortKnocking
0 votes
Pam_shield pourrait être utile ici. github.com/jtniehof/pam_shield