Em 31/01/08, [dt.Sl4cK*] - Elizandro Pacheco <[EMAIL PROTECTED]> escreveu: > > > http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=7686 > > > Abraço, > > Elizandro - [dt.Sl4cK*] > > > renator escreveu: > > Ola. Obrigado pela resposta de todos. Ja testei ossec, denyhosts e > > daemonshield. Todos funcionaram paricalmente, porém, não forma capazes > > de bloquear os ataques quando o atacante muda o usuário. Sim, ativei > > auto response, firewall drop, tudo....andei conversando com o pessoal > > do canal gnulinux, e chegue a conclusão que acredito ter achado uma > > ferramenta que possa resolver meu problema. Chama-se quick.....dei > > uma olhada sobre ela e achei muito boa, e bem segura.....amanha vou > > começar a testá-la. > > > > > > []'s, Renato > > > > On 29 jan, 10:20, "Rodrigo Montoro (Sp0oKeR)" <[EMAIL PROTECTED]> > > wrote: > > > >> Ola Renato, > >> 1-) Voce habilitou o active-response ? > >> 2-) Se sim da uma olhada no active-response.log e veja as > entradas. > >> > >> Por padr�o alertas com level 7 ou maior sao automaticamente > >> bloqueados caso o active response estiver ativado. > >> Outro detalhe, � que o active response tem o timeout, ou seja, apos > >> 10 minutos por padrao ele remove as regras, mas isso � configuravel. > >> > >> Tenho algumas coisas de OSSEC (os tutoriais de versoes antigas mais > >> ainda funcional emhttp://www.brc.com.br/artigos/) > >> > >> Qualquer duvida pode mandar mail em PVT tambem. > >> > >> []zz! > >> > >> 2008/1/28 Psycho Mantys <[EMAIL PROTECTED]>: > >> > >> > >> > >> > >> > >> > >>> Em 28/01/08, Kristian Erik Hermansen <[EMAIL PROTECTED]> > >>> escreveu: > >>> > >>>> 2008/1/28 renato Rudnicki <[EMAIL PROTECTED]>: > >>>> > >>>>> Ola. Instalei o ossec no meu servidor de internet e o cliente na > minha > >>>>> esta��o. Ele est� mandando emails e monitorando os logs > corretamente, > >>>>> > >>> por�m, > >>> > >>>>> pelo que eu andei checando, ele n�o est� bloqueando os ips no > >>>>> /etc/hosts.deny. Temo como configurar o ossec, para que depois de 4 > >>>>> tentativas de ssh, ele bloqueie por completo o acesso ao meu > servidor ? > >>>>> > >>>> Do you know about sshguard or denyhosts? > >>>> -- > >>>> Kristian Erik Hermansen > >>>> "Know something about everything and everything about something." > >>>> > >>>> Mas uma coisa, o denyhost nao sei como anda, mas ele tinha uma falha > para > >>>> > >>> ataques DoS. Era so um problema com uma expressao regular, que vc pode > >>> ajeitar no codigo fonte. Se alguem usar e tiver desatualizado > recomendo ver > >>> se isso ja foi corrigido. Se nao foi, e so alterar a regex que cuida > dos > >>> logs. Qq detalhe, procurem saber :D > >>> > >>>> -- > >>>> Adote um pinguim, saiba como! Me mande um e-mail demonstrando > interesse! > >>>> > >>>> http://www.slackware.com > >>>> http://img365.imageshack.us/img365/8483/snapshot3ak6.png > >>>> U.L. : 450347 > >>>> Fnord > >>>> > >> -- > >> ========================= > >> Rodrigo Montoro (Sp0oKeR > >> Security Researcher > >> SnortCP / RHCE / LPIC-I / MCSO > >> http://www.spookerlabs.com.br > >> ========================= > >> > > > > > > > > > > > > ##############################################################################################
Eu nunca ouvi falar a respeito deste tal de fwknop. Vc tem um link se ja tiver mexido com ele? Ô doto, legal o seu artigo. Nos comentarios dele o cara explica como fazer um bloquei desses que falaram (O espera sequencia de portas batidas ) aqui: http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=5551 Esse e com iptables, entao e mas familiar aos que gostam dele. Ja tinha visto um artigo parecido. Achei bem legal essa resenha do recent. -- Adote um pinguim, saiba como! Me mande um e-mail demonstrando interesse! http://www.slackware.com http://img365.imageshack.us/img365/8483/snapshot3ak6.png U.L. : 450347 Fnord --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br -~----------~----~----~----~------~----~------~--~---
