중복된 syslog 항목에 대해 명령을 실행할 수 있는 도구는 무엇입니까?

중복된 syslog 항목에 대해 명령을 실행할 수 있는 도구는 무엇입니까?

가끔 VPS I 컨트롤이 POP3 로그인 시도로 공격을 받는 경우가 있습니다. 모두 실패했지만 생성된 수많은 프로세스와 활성 연결은 DoS 공격과 거의 동일했습니다.

이런 일이 발생하면 일반적으로 iptables에 들어가서 문제의 IP 주소를 수동으로 차단합니다.내가 원하는 것syslog(또는 다른 적절한 위치)를 모니터링하는 프로세스를 서버에서 실행하고 특정 패턴과 일치하는 중복 로그 항목이 있는 경우 이를 명령에 전달하여 관련 부분(원격 호스트 IP 주소)을 추출하는 것입니다. 이 경우) 명령을 실행합니다(iptables에 DROP 규칙 추가).예를 들어, 동일한 메시지 부분이 포함된 로그 항목이 1분 내에 5번 기록되면 수행됩니다.

VPS는 도움이 될 경우를 대비해 syslog-ng를 실행합니다. 나는 iptables에 속도 제한을 설정했습니다. 이는 도움이 되지만 확실히 완벽하지는 않습니다. 공격자의 연결 시도를 차단하는 만큼 내 자신의 연결 시도도 차단하기 때문입니다(연결이 설정된 사람은 운이 좋을 것입니다). 연결해야 하는 클라이언트는 동적 블록의 IP 주소를 가지고 있으므로 속도 제한 없이 재정의 규칙을 추가하는 것은 어렵습니다.

VPS가 Virtuozzo에서 실행 중이므로 게스트로부터 루트 액세스 권한이 있지만 사용자 정의 커널 모듈이나 사용자 정의 커널을 로드할 수 없습니다. 따라서 사용자 공간에서 수행되어야 합니다.

어떤 소프트웨어가 나에게 도움이 될 수 있나요?

답변1

나는 추천하고 싶다실패 2 금지.

Fail2ban은 무차별 로그인 시도 로그를 모니터링하도록 설계된 소프트웨어입니다. 이러한 시도를 발견하면 iptables를 통해 공격자의 IP를 차단합니다. 충분한 시간이 지나면, fall2ban은 자동으로 블록을 삭제합니다.

Fail2ban은 사용자 정의가 가능하며 거의 모든 유형의 인터넷 서비스 데몬과 함께 사용할 수 있습니다. pop3 데몬에 대한 특정 문서도 있습니다.관광 가이드,비둘기 로프트, 그리고큐메일.

답변2

저는 OSSEC(http://www.ossec.net/)를 사용합니다. 로그 분석을 수행하지만 최소한의 설정으로 사전 대응 옵션(iptables 및 호스트.거부 항목을 동적으로 추가 및 제거)도 제공합니다. 여기에는 몇 가지 기본 규칙이 있지만 직접 추가할 수도 있습니다. 나는 그것을 테스트하고 CentOS, Ubuntu 및 Slackware 머신(물리적 및 VPS)의 프로덕션에서 사용했습니다.

설치는 매우 간단합니다. 주로 특정 규칙을 무시하도록 구성하는 튜닝에는 시간이 더 걸립니다. 이를 사용하고 사전 대응 기능을 활성화하는 경우 일반적으로 기본값으로 충분합니다.

기본 차단 시간(몇 분)을 그대로 두고 귀하의 IP(또는 귀하의 IP가 고정되지 않고 서버가 귀하를 차단하는 경우를 대비해 귀하가 신뢰하는 다른 서버의 IP)가 포함된 화이트리스트를 추가하는 것이 좋습니다.

또한 보다 정교한 차단 관리가 필요한 경우 실제 활성 차단을 수행하기 전에 bash(예:) 스크립트를 사용하여 IP 주소를 검사하고 처리하도록 OSSEC를 구성할 수 있습니다.

관련 정보