Em 29/01/08, renator <[EMAIL PROTECTED]> escreveu: > > > Ola. Obrigado pela resposta de todos. Ja testei ossec, denyhosts e > daemonshield. Todos funcionaram paricalmente, porém, não forma capazes > de bloquear os ataques quando o atacante muda o usuário. Sim, ativei > auto response, firewall drop, tudo....andei conversando com o pessoal > do canal gnulinux, e chegue a conclusão que acredito ter achado uma > ferramenta que possa resolver meu problema. Chama-se quick.....dei > uma olhada sobre ela e achei muito boa, e bem segura.....amanha vou > começar a testá-la. > > > []'s, Renato > > On 29 jan, 10:20, "Rodrigo Montoro (Sp0oKeR)" <[EMAIL PROTECTED]> > wrote: > > Ola Renato, > > 1-) Voce habilitou o active-response ? > > 2-) Se sim da uma olhada no active-response.log e veja as entradas. > > > > Por padr�o alertas com level 7 ou maior sao automaticamente > > bloqueados caso o active response estiver ativado. > > Outro detalhe, � que o active response tem o timeout, ou seja, apos > > 10 minutos por padrao ele remove as regras, mas isso � configuravel. > > > > Tenho algumas coisas de OSSEC (os tutoriais de versoes antigas mais > > ainda funcional emhttp://www.brc.com.br/artigos/) > > > > Qualquer duvida pode mandar mail em PVT tambem. > > > > []zz! > > > > 2008/1/28 Psycho Mantys <[EMAIL PROTECTED]>: > > > > > > > > > > > > > Em 28/01/08, Kristian Erik Hermansen <[EMAIL PROTECTED]> > > > escreveu: > > > > > > 2008/1/28 renato Rudnicki <[EMAIL PROTECTED]>: > > > > > Ola. Instalei o ossec no meu servidor de internet e o cliente na > minha > > > > > esta��o. Ele est� mandando emails e monitorando os logs > corretamente, > > > por�m, > > > > > pelo que eu andei checando, ele n�o est� bloqueando os ips no > > > > > /etc/hosts.deny. Temo como configurar o ossec, para que depois de > 4 > > > > > tentativas de ssh, ele bloqueie por completo o acesso ao meu > servidor ? > > > > > > Do you know about sshguard or denyhosts? > > > > -- > > > > Kristian Erik Hermansen > > > > "Know something about everything and everything about something." > > > > > > Mas uma coisa, o denyhost nao sei como anda, mas ele tinha uma > falha para > > > ataques DoS. Era so um problema com uma expressao regular, que vc pode > > > ajeitar no codigo fonte. Se alguem usar e tiver desatualizado > recomendo ver > > > se isso ja foi corrigido. Se nao foi, e so alterar a regex que cuida > dos > > > logs. Qq detalhe, procurem saber :D > > > > > > -- > > > > Adote um pinguim, saiba como! Me mande um e-mail demonstrando > interesse! > > > > > >http://www.slackware.com > > > >http://img365.imageshack.us/img365/8483/snapshot3ak6.png > > > > U.L. : 450347 > > > > Fnord > > > > -- > > ========================= > > Rodrigo Montoro (Sp0oKeR > > Security Researcher > > SnortCP / RHCE / LPIC-I / MCSO > > http://www.spookerlabs.com.br > > ========================= > > > > #############################################################################################
Mas o que vc quer? Lembro que e possivel sim bloquear um usuario por um determinado tempo nesses carinhas. O problema e que eles(verdadeiros usuarios) nao teram acesso depois, mas isso e ler mentes jah :p -- Adote um pinguim, saiba como! Me mande um e-mail demonstrando interesse! http://www.slackware.com http://img365.imageshack.us/img365/8483/snapshot3ak6.png U.L. : 450347 Fnord --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br -~----------~----~----~----~------~----~------~--~---
