From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <Dmitriy.Kruglikov@orionagro.com.ua>
Date: Fri, 10 Mar 2006 10:37:59 +0200
From: "Dmitriy L. Kruglikov" <Dmitriy.Kruglikov@orionagro.com.ua>
To: sysadmins@lists.altlinux.org
Message-ID: <20060310103759.1814dca0@shadow.orionagro.com.ua>
In-Reply-To: <200603101116.26985.SilverFox@rgantd.ru>
References: <20060308120445.2E41A5492@smtp.umc.ua>
	<20060309103547.3ccc04af@shadow.orionagro.com.ua>
	<200603101113.04480.SilverFox@rgantd.ru>
	<200603101116.26985.SilverFox@rgantd.ru>
Organization: ORION AGRO
X-Mailer: Sylpheed-Claws 2.0.0cvs41 (GTK+ 2.8.12; i586-alt-linux-gnu)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
X-Virus-Scanned: amavisd-new at orionagro.com.ua
Subject: Re: [Sysadmins] Snort rules
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.6
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Fri, 10 Mar 2006 08:38:20 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/20060310103759.1814dca0@shadow.orionagro.com.ua/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

On Fri, 10 Mar 2006 11:16:26 +0300
Anatoliy Lisjutin wrote:

> Здравствуйте!
> В сообщении от Пятница 10 Март 2006 11:13 Anatoliy Lisjutin написал(a):
> > В сообщении от Четверг 09 Март 2006 11:35 Dmitriy L. Kruglikov 
> написал(a):
> 
> > Или я не догоняю что-то?
> Все же не догоняю, надо еще проверять , нет ли этого адреса уже в правилах 
> iptables.  И вставить ето вместо `grep $i /etc/hosts.deny | sed 
> 's/.#.*//'`
Дело вовсе не в том, чтобы по крону что-то выбрать и добавить
куда-то ...
Все дело в том, что это нужно делать немедленно!!!

Если имеется факт подключения к сервису чаще чем один раз в 15-20-30
секунд, и имя/пароль неправильные, и более того, в несколько потоков с
одного (или не одного) адреса, то это атака с подбором по словарю...
И тут нужно заблокировать этот адрес немедленно.
А по крону, не чаще чем раз в минуту... И лог за прошлую минуту...
А если лог большой, то парситься он будет долго...
Если вообще не свалится в кору...

Твой вариант защиты даст ложное чувство защищенности и самоуспокоения,
что, чаще всего, дает плачевный результат...

А может быть я параноик :)

Но лучше перебдеть, чем недобдеть...

--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov@orionagro.com.ua      |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/