[Sysadmins] Snort rules

[Sysadmins] Snort rules

[Dmitriy L. Kruglikov]

Доброго времени суток, коллеги.

Окажите содействие в написании правила Snort для 
обнаружения попыток подключения к порту 22 
с частотой выше некоторой разумной.
Brute force атака ...

Расшифровывать трафик нет необходимости...
Я думаю, что сам факт попыток подключения каждые 3 секунды - уже
аномально ... :)

Мое правило не всегда работает... :(

Препарируйте:
alert tcp $EXTERNAL_NET any -> ХХХ.ХХХ.ХХХ.ХХХ 22 (msg:"SSH brute force
attempt"; flow:to_server,established; threshold:type threshold, track
by_dst, count 10, seconds 60; classtype:suspicious-login; sid:1000999;
rev:2;)


Для справок: Я пользуюсь BlockIt для автоматического добавления
адреса атакующего в iptables.

Flexresp мне не понравился .... Может быть, потому что правила
срабатывают не всегда, и нет возможности проверить, что, где и как
сработало.

--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov@orionagro.com.ua      |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/

Re: [Sysadmins] Snort rules

[Dmitriy L. Kruglikov]

On Tue, 7 Mar 2006 11:52:37 +0200
Dmitriy L. Kruglikov wrote:

> Для справок: Я пользуюсь BlockIt для автоматического добавления
> адреса атакующего в iptables.
Адрес сайта Blockit - http://www.teknofx.com/
Если кому интересно...


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov@orionagro.com.ua      |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/

Re: [Sysadmins] Snort rules

[Avramenko Andrew]

Дмитрий, я Вам очень рекомендую не пользоваться snort'ом. Уж слишком опасные уязвимости в нем находят. 
В случае с ssh лучше использовать технологию port_knocking или просто перевесить на другой порт. 

Re: [Sysadmins] Snort rules

[Evgenii Terechkov]

"Dmitriy L. Kruglikov" <Dmitriy.Kruglikov@orionagro.com.ua> writes:

Тут уже упомянули, что snort дыряв (не знаю, не сталкивался, т.е. не
пользовался им), и предложили либо перевесить на другой порт или
использовать knock. Это вполне работоспособные решения.

Однако наберусь наглости и спрошу: а поправить параметры LoginGraceTime и
MaxStartups в /e/o/sshd_config вас не устроит? Или ещё что-то кроме ssh
засекать надо?

Re: [Sysadmins] Snort rules

[Evgenii Terechkov]

"Dmitriy Kruglikov" <Dmitriy.Kruglikov@orionagro.com.ua> writes:

>> Однако наберусь наглости и спрошу: а поправить параметры
>> LoginGraceTime и
>> MaxStartups в /e/o/sshd_config вас не устроит?
> Это все я сделал... И V.1 запретил... И AllowedUsers прописал...

Тогда ssh считай что прикрыт :-)

>> Или ещё что-то кроме ssh засекать надо?
> Еще у меня 993 порт наружу смотрит ...
> Но не в том дело.... Просто повадился гад один подбирать пароли...
> И свой адрес спуфит... И уж если он такой настырный, то у него есть
> шанс :)...
> Один из миллиарда :)...

imaps что-ли?

> Ну а если не Снорт, то как мне ртреагировать на множественные ошибки
> авторизации?
> Для справок, они все пишутся в /var/log/auth/all... Но у меня мозгов
> нет, написать демона...

Всё написано до нас :-). Ну, может не совсем всё и совсем то, что нам надо.
Есть в Сизифе пакет такой: BlockHosts. Как раз такое и делает - смотрит за
логом (по регекспам) и реагирует. Посмотрите его.

Re: [Sysadmins] Snort rules

[Smont]

Здравствуйте
Вы писали 8 марта 2006 г., 15:00:18:

>Ну а если не Снорт, то как мне ртреагировать на множественные ошибки авторизации?
http://denyhosts.sourceforge.net/ ?
-- 
С уважением,
 Smont                          mailto:smont@mail.ru

Re: [Sysadmins] Snort rules

[Sergiy Guminilovych]

>> Ну а если не Снорт, то как мне ртреагировать на множественные ошибки
>> авторизации?
>> Для справок, они все пишутся в /var/log/auth/all...

Кстати у меня в этом логе отображается только инфо о неудачной попытке,
а хост - нету. Mar  5 12:20:35 cloud pam_tcb[21797]: login: Authentication failed for UNKNOWN USER from LOGIN(uid=0)
Где это можно поправить?
И еще вопрос. Помнится в RH 7.x была очень полезная утилита, она
каждый день запускалась по крону, анализировала логи на предмет
неудачных авторизаций, сообщений от фаервола и т.п. Результаты работы
отправлялись администратору на почту. К сожалению не помню ее названия :(
В альте есть что-нибудь подобное?

-- 
Best regards,
 Sergiy                            mailto:gray_post@mail.ru

Re: [Sysadmins] Snort rules

[Терешков Евгений]

Sergiy Guminilovych <gray_post@mail.ru> writes:

> И еще вопрос. Помнится в RH 7.x была очень полезная утилита, она
> каждый день запускалась по крону, анализировала логи на предмет
> неудачных авторизаций, сообщений от фаервола и т.п. Результаты работы
> отправлялись администратору на почту. К сожалению не помню ее названия
> :(
> В альте есть что-нибудь подобное?

Logwatch, есть в Сизифе (новой версий пока нет). Многие считают её (и есть
за что) слишком монструозной и неудобной. Вроде были и альтернативы.
Пойщите.

Re: [Sysadmins] Snort rules

[Dmitriy L. Kruglikov]

On Wed, 08 Mar 2006 19:49:48 +0700
Evgenii Terechkov wrote:

> Всё написано до нас :-). Ну, может не совсем всё и совсем то, что нам надо.
> Есть в Сизифе пакет такой: BlockHosts. Как раз такое и делает - смотрит за
> логом (по регекспам) и реагирует. Посмотрите его.

Посмотрел...
Мне бы хотелось писать правила в iptables, а BlockHosts
пишет в hosts.deny ...

А для того, чтобы сработали запреты в hosts.deny нужно установить
соединение с сервисом ... А мне это не нравится ....

Может быть я параноик, но, на мой взгляд, было бы надежнее блокировать
на более низком уровне OSI ...
Запретить соединения на уровне транспортных протоколов, а не на уровне
приложений ...

Может быть кто силен в Питоне? Да сообча подправили бы?


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov@orionagro.com.ua      |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/

Re: [Sysadmins] Snort rules

[Терешков Евгений]

"Dmitriy L. Kruglikov" пишет:

> Мне бы хотелось писать правила в iptables, а BlockHosts
> пишет в hosts.deny ...
> А для того, чтобы сработали запреты в hosts.deny нужно установить
> соединение с сервисом ... А мне это не нравится ....
> Может быть я параноик, но, на мой взгляд, было бы надежнее блокировать
> на более низком уровне OSI ...
> Запретить соединения на уровне транспортных протоколов, а не на уровне
> приложений ...

Паранойя - один из двигателей прогресса :-) (многодвигательная система, как
на бомбардировщике ТБ-3 :-).

> Может быть кто силен в Питоне? Да сообча подправили бы?

Я не силён, но писал кое-что. Поправил бы много чего там, да времени
столько нет. Самому такое нужно.

Если что сделайте - киньте сюда ссылочку, наверно много кому пригодится.

Re: [Sysadmins] Snort rules

[Dmitriy L. Kruglikov]

On Thu, 09 Mar 2006 15:45:29 +0700
Терешков Евгений wrote:

> 
> Я не силён, но писал кое-что. Поправил бы много чего там, да времени
> столько нет. Самому такое нужно.
> 
У тебя есть листинг?
Давай в личке пообщаемся ...
Я посмотрю по алгоритму, что где и как, и куда куски вставить...
Совместно осилим ...

А может кто еще подключится?

Чтоб рассылку не засорять, велкам ко мне ...
Контакты ниже ...


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov@orionagro.com.ua      |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 dkr6@jabber.ru                        (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/

Re: [Sysadmins] Snort rules

[Anatoliy Lisjutin]

[-- Attachment #1: Type: text/plain, Size: 843 bytes --]

Здравствуйте!
В сообщении от Четверг 09 Март 2006 11:35 Dmitriy L. Kruglikov написал(a):
> On Wed, 08 Mar 2006 19:49:48 +0700
> Мне бы хотелось писать правила в iptables, а BlockHosts
> пишет в hosts.deny ...
>
> А для того, чтобы сработали запреты в hosts.deny нужно установить
> соединение с сервисом ... А мне это не нравится ....
Посылаю два скрипта для vsftp и ssh. Работают по крону. пишут в hosts.deny, 
но главное список дают , а правило по списку адресов нарушителей воткнуть 
в iptables  не проблема при этом , надо немножко изменить конечную часть..
Ну то есть вметсто строчки   echo -en "ALL: "$i "\t# Added by rw... 
воткнуть правило iptables , где IP зловредного источника  $i.
Или я не догоняю что-то?  
-- 
With my best regards to you !!
http://rusarchives.ru http://rgantd.ru http://victory.rusarchives.ru
SilverFox@rgantd.ru

[-- Attachment #2: rwsecure --]
[-- Type: text/plain, Size: 615 bytes --]

#
# rwsecure parses the /var/log/auth/all file for Invalid usernames or 
# Failed password.  If more than 3 invalid or failed attempts by one 
# IP, it will add that IP to your /etc/hosts.deny file.
#


file=`awk '/Invalid|Failed password/' /var/log/auth/all | sed s/.*from./""/ | sed s/port.*/""/| awk '{print $1}' | sort | uniq -c | sort -n | awk '{if ($1>15){print $2}else{}}'`

for i in $file
	do
		x=`grep $i /etc/hosts.deny | sed 's/.#.*//'`
		if [ "$x" ]
		then
			y=0
		else
			echo -en "ALL: "$i "\t# Added by rwsecure on "`date | awk '{print $2 " " $3 " " $4 " " $6}'`"\n" >> /etc/hosts.deny 
		fi

	done

[-- Attachment #3: ftpsecure --]
[-- Type: text/plain, Size: 607 bytes --]

#
# rwsecure parses the /var/log/auth/all file for Invalid usernames or 
# Failed password.  If more than 3 invalid or failed attempts by one 
# IP, it will add that IP to your /etc/hosts.deny file.
#


file=`awk '/FAIL LOGIN/' /var/log/vsftpd.log | sed s/.*Client\ \"/""/ | sed s/\"/""/ | awk '{print $1}' | sort | uniq -c | sort -n | awk '{if ($1>15){print $2}else{}}'`

for i in $file
	do
		x=`grep $i /etc/hosts.deny | sed 's/.#.*//'`
		if [ "$x" ]
		then
			y=0
		else
			echo -en "ALL: "$i "\t# Added by ftpsecure on "`date | awk '{print $2 " " $3 " " $4 " " $6}'`"\n" >> /etc/hosts.deny 
		fi

	done

Re: [Sysadmins] Snort rules

[Anatoliy Lisjutin]

Здравствуйте!
В сообщении от Пятница 10 Март 2006 11:13 Anatoliy Lisjutin написал(a):
> В сообщении от Четверг 09 Март 2006 11:35 Dmitriy L. Kruglikov 
написал(a):

> Или я не догоняю что-то?
Все же не догоняю, надо еще проверять , нет ли этого адреса уже в правилах 
iptables.  И вставить ето вместо `grep $i /etc/hosts.deny | sed 
's/.#.*//'`
-- 
With my best regards to you !!
http://rusarchives.ru http://rgantd.ru http://victory.rusarchives.ru
SilverFox@rgantd.ru

Re: [Sysadmins] Snort rules

[Dmitriy L. Kruglikov]

On Fri, 10 Mar 2006 11:16:26 +0300
Anatoliy Lisjutin wrote:

> Здравствуйте!
> В сообщении от Пятница 10 Март 2006 11:13 Anatoliy Lisjutin написал(a):
> > В сообщении от Четверг 09 Март 2006 11:35 Dmitriy L. Kruglikov 
> написал(a):
> 
> > Или я не догоняю что-то?
> Все же не догоняю, надо еще проверять , нет ли этого адреса уже в правилах 
> iptables.  И вставить ето вместо `grep $i /etc/hosts.deny | sed 
> 's/.#.*//'`
Дело вовсе не в том, чтобы по крону что-то выбрать и добавить
куда-то ...
Все дело в том, что это нужно делать немедленно!!!

Если имеется факт подключения к сервису чаще чем один раз в 15-20-30
секунд, и имя/пароль неправильные, и более того, в несколько потоков с
одного (или не одного) адреса, то это атака с подбором по словарю...
И тут нужно заблокировать этот адрес немедленно.
А по крону, не чаще чем раз в минуту... И лог за прошлую минуту...
А если лог большой, то парситься он будет долго...
Если вообще не свалится в кору...

Твой вариант защиты даст ложное чувство защищенности и самоуспокоения,
что, чаще всего, дает плачевный результат...

А может быть я параноик :)

Но лучше перебдеть, чем недобдеть...

--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov@orionagro.com.ua      |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/

Re: [Sysadmins] Snort rules

[Anatoliy Lisjutin]

В сообщении от Пятница 10 Март 2006 11:37 Dmitriy L. Kruglikov написал(a):
>
> Твой вариант защиты даст ложное чувство защищенности и самоуспокоения,
> что, чаще всего, дает плачевный результат...
>
> А может быть я параноик :)
Наверное ;)
Логи недельные , были и годовые , не падал.
раз в 20 мин запускаю , не подберут. Простых паролей не даю, сами они 
виндузятники и passwd запустить слабо, и даже если запустят 
Enter new password:
Weak password: too short.
passwd: Authentication token manipulation error.
Но вообще , потенциальная возможность есть , согласен.
-- 
With my best regards to you !!
http://rusarchives.ru http://rgantd.ru http://victory.rusarchives.ru
SilverFox@rgantd.ru

Re: [Sysadmins] Snort rules

[Dmitriy L. Kruglikov]

On Fri, 10 Mar 2006 11:57:56 +0300
Anatoliy Lisjutin wrote:

> В сообщении от Пятница 10 Март 2006 11:37 Dmitriy L. Kruglikov написал(a):
> >
> > Твой вариант защиты даст ложное чувство защищенности и самоуспокоения,
> > что, чаще всего, дает плачевный результат...
> >
> > А может быть я параноик :)
> Наверное ;)
:)
> Логи недельные , были и годовые , не падал.
А толку от недельных логов? Мне не интересно узнать, что кто-то,
когда-то пытался .... Мне нужно отреагировать на атаку немедленно...
Но каждому - свое ... Спорить смысла нету :).

> Простых паролей не даю, сами они 
> виндузятники и passwd запустить слабо
Для виндузятников /sbin/nologin в качестве шела, и пусть у них пароль
хоть 123 будет ...
Другое дело, что с таким паролем можно зайти на ИМАПс... Или еще
куда ...
Но это уже из другой песни ... Хотя, я бы рули SNORT и к другим
сервисам приставил...
Но на мой 993 пока еще ни кто не заходил.... Вроде как ...

--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov@orionagro.com.ua      |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/

Re: [Sysadmins] Snort rules

[Anatoliy Lisjutin]

В сообщении от Пятница 10 Март 2006 13:01 Dmitriy L. Kruglikov написал(a):
> On Fri, 10 Mar 2006 11:57:56 +0300
>
> Anatoliy Lisjutin wrote:
> > В сообщении от Пятница 10 Март 2006 11:37 Dmitriy L. Kruglikov 
написал(a):

> > Логи недельные , были и годовые , не падал.
>
> А толку от недельных логов? Мне не интересно узнать, что кто-то,
> когда-то пытался .... 
Здесь я говорил о том, что скрипт не падал и на годовом логе.. 
> Мне нужно отреагировать на атаку немедленно... 
20 мин и отреагирует скрипт, могу , и чаще , это от паранои зависит ;)
> Но каждому - свое ... Спорить смысла нету :).
Угу.. Если будет простая реализация  того что вы хотите , сообщите и мне ;)

-- 
With my best regards to you !!
http://rusarchives.ru http://rgantd.ru http://victory.rusarchives.ru
SilverFox@rgantd.ru